--- read_when: - '`openclaw security audit` çıktısında belirli bir `checkId` gördünüz ve bunun ne anlama geldiğini bilmek istiyorsunuz' - Belirli bir bulgu için düzeltme anahtarına/yoluna ihtiyacınız var - Bir güvenlik denetimi çalıştırması kapsamında önem derecelerini sınıflandırıyorsunuz summary: openclaw security audit tarafından üretilen checkIds referans kataloğu title: Güvenlik denetimi kontrolleri x-i18n: generated_at: "2026-05-10T19:38:31Z" model: gpt-5.5 provider: openai source_hash: adc0fad7740fd20845ee0205d1a357fc6b6bd0d05fa9e97b6aa7403a94bbdb69 source_path: gateway/security/audit-checks.md workflow: 16 --- `openclaw security audit`, `checkId` ile anahtarlanmış yapılandırılmış bulgular üretir. Bu sayfa, bu kimlikler için başvuru kataloğudur. Üst düzey tehdit modeli ve sağlamlaştırma rehberliği için [Güvenlik](/tr/gateway/security) bölümüne bakın. Gerçek dağıtımlarda büyük olasılıkla göreceğiniz yüksek sinyal değerine sahip `checkId` değerleri (kapsamlı değildir): | `checkId` | Önem derecesi | Neden önemli | Birincil düzeltme anahtarı/yolu | Otomatik düzeltme | | ------------------------------------------------------------- | ------------- | ----------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | ----------------- | | `fs.state_dir.perms_world_writable` | kritik | Diğer kullanıcılar/süreçler tüm OpenClaw durumunu değiştirebilir | `~/.openclaw` üzerinde dosya sistemi izinleri | evet | | `fs.state_dir.perms_group_writable` | uyarı | Grup kullanıcıları tüm OpenClaw durumunu değiştirebilir | `~/.openclaw` üzerinde dosya sistemi izinleri | evet | | `fs.state_dir.perms_readable` | uyarı | Durum dizini başkaları tarafından okunabilir | `~/.openclaw` üzerinde dosya sistemi izinleri | evet | | `fs.state_dir.symlink` | uyarı | Durum dizini hedefi başka bir güven sınırı haline gelir | durum dizini dosya sistemi yerleşimi | hayır | | `fs.config.perms_writable` | kritik | Başkaları kimlik doğrulama/araç ilkesi/yapılandırmasını değiştirebilir | `~/.openclaw/openclaw.json` üzerinde dosya sistemi izinleri | evet | | `fs.config.symlink` | uyarı | Sembolik bağlı yapılandırma dosyaları yazma için desteklenmez ve başka bir güven sınırı ekler | normal bir yapılandırma dosyasıyla değiştirin veya `OPENCLAW_CONFIG_PATH` değerini gerçek dosyaya yönlendirin | hayır | | `fs.config.perms_group_readable` | uyarı | Grup kullanıcıları yapılandırma tokenlarını/ayarlarını okuyabilir | yapılandırma dosyasında dosya sistemi izinleri | evet | | `fs.config.perms_world_readable` | kritik | Yapılandırma tokenları/ayarları açığa çıkarabilir | yapılandırma dosyasında dosya sistemi izinleri | evet | | `fs.config_include.perms_writable` | kritik | Yapılandırma include dosyası başkaları tarafından değiştirilebilir | `openclaw.json` içinden başvurulan include dosyası izinleri | evet | | `fs.config_include.perms_group_readable` | uyarı | Grup kullanıcıları dahil edilen sırları/ayarları okuyabilir | `openclaw.json` içinden başvurulan include dosyası izinleri | evet | | `fs.config_include.perms_world_readable` | kritik | Dahil edilen sırlar/ayarlar herkes tarafından okunabilir | `openclaw.json` içinden başvurulan include dosyası izinleri | evet | | `fs.auth_profiles.perms_writable` | kritik | Başkaları saklanan model kimlik bilgilerini enjekte edebilir veya değiştirebilir | `agents//agent/auth-profiles.json` izinleri | evet | | `fs.auth_profiles.perms_readable` | uyarı | Başkaları API anahtarlarını ve OAuth tokenlarını okuyabilir | `agents//agent/auth-profiles.json` izinleri | evet | | `fs.credentials_dir.perms_writable` | kritik | Başkaları kanal eşleştirme/kimlik bilgisi durumunu değiştirebilir | `~/.openclaw/credentials` üzerinde dosya sistemi izinleri | evet | | `fs.credentials_dir.perms_readable` | uyarı | Başkaları kanal kimlik bilgisi durumunu okuyabilir | `~/.openclaw/credentials` üzerinde dosya sistemi izinleri | evet | | `fs.sessions_store.perms_readable` | uyarı | Başkaları oturum transkriptlerini/meta verilerini okuyabilir | oturum deposu izinleri | evet | | `fs.log_file.perms_readable` | uyarı | Başkaları redakte edilmiş ama hâlâ hassas günlükleri okuyabilir | Gateway günlük dosyası izinleri | evet | | `fs.synced_dir` | uyarı | iCloud/Dropbox/Drive içindeki durum/yapılandırma, token/transkript maruziyetini genişletir | yapılandırmayı/durumu eşitlenen klasörlerin dışına taşıyın | hayır | | `gateway.bind_no_auth` | kritik | Paylaşılan sır olmadan uzak bind | `gateway.bind`, `gateway.auth.*` | hayır | | `gateway.loopback_no_auth` | kritik | Ters proxy üzerinden sunulan loopback kimlik doğrulamasız hale gelebilir | `gateway.auth.*`, proxy kurulumu | hayır | | `gateway.trusted_proxies_missing` | uyarı | Ters proxy üst bilgileri mevcut ama güvenilir değil | `gateway.trustedProxies` | hayır | | `gateway.http.no_auth` | uyarı/kritik | Gateway HTTP API'leri `auth.mode="none"` ile erişilebilir | `gateway.auth.mode`, `gateway.http.endpoints.*` | hayır | | `gateway.http.session_key_override_enabled` | bilgi | HTTP API çağıranları `sessionKey` değerini geçersiz kılabilir | `gateway.http.allowSessionKeyOverride` | hayır | | `gateway.tools_invoke_http.dangerous_allow` | uyarı/kritik | Tehlikeli araçları HTTP API üzerinden yeniden etkinleştirir | `gateway.tools.allow` | hayır | | `gateway.nodes.allow_commands_dangerous` | uyarı/kritik | Yüksek etkili node komutlarını etkinleştirir (kamera/ekran/kişiler/takvim/SMS) | `gateway.nodes.allowCommands` | hayır | | `gateway.nodes.deny_commands_ineffective` | uyarı | Kalıp benzeri deny girdileri shell metniyle veya gruplarla eşleşmez | `gateway.nodes.denyCommands` | hayır | | `gateway.tailscale_funnel` | kritik | Genel internet maruziyeti | `gateway.tailscale.mode` | hayır | | `gateway.tailscale_serve` | bilgi | Tailnet maruziyeti Serve üzerinden etkinleştirilmiş | `gateway.tailscale.mode` | hayır | | `gateway.control_ui.allowed_origins_required` | kritik | Açık tarayıcı origin izin listesi olmadan loopback olmayan Control UI | `gateway.controlUi.allowedOrigins` | hayır | | `gateway.control_ui.allowed_origins_wildcard` | uyarı/kritik | `allowedOrigins=["*"]` tarayıcı origin izin listesini devre dışı bırakır | `gateway.controlUi.allowedOrigins` | hayır | | `gateway.control_ui.host_header_origin_fallback` | uyarı/kritik | Host üst bilgisi origin fallback özelliğini etkinleştirir (DNS rebinding sertleştirmesini düşürür) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | hayır | | `gateway.control_ui.insecure_auth` | uyarı | Güvensiz kimlik doğrulama uyumluluk anahtarı etkinleştirilmiş | `gateway.controlUi.allowInsecureAuth` | hayır | | `gateway.control_ui.device_auth_disabled` | kritik | Cihaz kimliği denetimini devre dışı bırakır | `gateway.controlUi.dangerouslyDisableDeviceAuth` | hayır | | `gateway.real_ip_fallback_enabled` | uyarı/kritik | `X-Real-IP` fallback değerine güvenmek, proxy yanlış yapılandırması üzerinden kaynak IP sahteciliğine olanak tanıyabilir | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | hayır | | `gateway.token_too_short` | uyarı | Kısa paylaşılan token brute force ile daha kolay kırılır | `gateway.auth.token` | hayır | | `gateway.auth_no_rate_limit` | uyarı | Hız sınırlaması olmadan açığa çıkarılan kimlik doğrulama brute force riskini artırır | `gateway.auth.rateLimit` | hayır | | `gateway.trusted_proxy_auth` | kritik | Proxy kimliği artık kimlik doğrulama sınırı haline gelir | `gateway.auth.mode="trusted-proxy"` | hayır | | `gateway.trusted_proxy_no_proxies` | kritik | Güvenilir proxy IP'leri olmadan trusted-proxy kimlik doğrulaması güvensizdir | `gateway.trustedProxies` | hayır | | `gateway.trusted_proxy_no_user_header` | kritik | Trusted-proxy kimlik doğrulaması kullanıcı kimliğini güvenli şekilde çözümleyemez | `gateway.auth.trustedProxy.userHeader` | hayır | | `gateway.trusted_proxy_no_allowlist` | uyarı | Trusted-proxy kimlik doğrulaması, kimliği doğrulanmış herhangi bir upstream kullanıcıyı kabul eder | `gateway.auth.trustedProxy.allowUsers` | hayır | | `gateway.trusted_proxy_allow_loopback` | uyarı | Trusted-proxy kimlik doğrulaması açıkça izin verilen loopback proxy kaynaklarını kabul ediyor | `gateway.auth.trustedProxy.allowLoopback` | hayır | | `gateway.probe_auth_secretref_unavailable` | uyarı | Derin yoklama bu komut yolunda kimlik doğrulama SecretRef’lerini çözemedi | derin yoklama kimlik doğrulama kaynağı / SecretRef kullanılabilirliği | hayır | | `gateway.probe_failed` | uyarı/kritik | Canlı Gateway yoklaması başarısız oldu | gateway erişilebilirliği/kimlik doğrulaması | hayır | | `discovery.mdns_full_mode` | uyarı/kritik | mDNS tam modu yerel ağda `cliPath`/`sshPort` meta verilerini duyurur | `discovery.mdns.mode`, `gateway.bind` | hayır | | `config.insecure_or_dangerous_flags` | uyarı | Herhangi bir güvensiz/tehlikeli hata ayıklama bayrağı etkin | birden çok anahtar (bulgu ayrıntısına bakın) | hayır | | `config.secrets.gateway_password_in_config` | uyarı | Gateway parolası doğrudan yapılandırmada saklanıyor | `gateway.auth.password` | hayır | | `config.secrets.hooks_token_in_config` | uyarı | Hook bearer token’ı doğrudan yapılandırmada saklanıyor | `hooks.token` | hayır | | `hooks.token_reuse_gateway_token` | kritik | Hook giriş token’ı Gateway kimlik doğrulamasının da kilidini açıyor | `hooks.token`, `gateway.auth.token` | hayır | | `hooks.token_too_short` | uyarı | Hook girişinde brute force’u kolaylaştırır | `hooks.token` | hayır | | `hooks.default_session_key_unset` | uyarı | Hook ajan çalıştırmaları oluşturulan istek başına oturumlara yayılır | `hooks.defaultSessionKey` | hayır | | `hooks.allowed_agent_ids_unrestricted` | uyarı/kritik | Kimliği doğrulanmış hook çağıranları yapılandırılmış herhangi bir ajana yönlendirebilir | `hooks.allowedAgentIds` | hayır | | `hooks.request_session_key_enabled` | uyarı/kritik | Dış çağıran sessionKey seçebilir | `hooks.allowRequestSessionKey` | hayır | | `hooks.request_session_key_prefixes_missing` | uyarı/kritik | Dış oturum anahtarı biçimleri için sınır yok | `hooks.allowedSessionKeyPrefixes` | hayır | | `hooks.path_root` | kritik | Hook yolu `/`, bu da girişin çakışmasını veya yanlış yönlendirilmesini kolaylaştırır | `hooks.path` | hayır | | `hooks.installs_unpinned_npm_specs` | uyarı | Hook kurulum kayıtları değişmez npm belirtimlerine sabitlenmemiş | hook kurulum meta verileri | hayır | | `hooks.installs_missing_integrity` | uyarı | Hook kurulum kayıtlarında bütünlük meta verileri yok | hook kurulum meta verileri | hayır | | `hooks.installs_version_drift` | uyarı | Hook kurulum kayıtları kurulu paketlerden sapıyor | hook kurulum meta verileri | hayır | | `logging.redact_off` | uyarı | Hassas değerler günlüklere/duruma sızar | `logging.redactSensitive` | evet | | `browser.control_invalid_config` | uyarı | Browser kontrol yapılandırması çalışma zamanından önce geçersiz | `browser.*` | hayır | | `browser.control_no_auth` | kritik | Browser kontrolü token/parola kimlik doğrulaması olmadan açığa çıkarılmış | `gateway.auth.*` | hayır | | `browser.remote_cdp_http` | uyarı | Düz HTTP üzerinden uzak CDP taşıma şifrelemesinden yoksun | browser profili `cdpUrl` | hayır | | `browser.remote_cdp_private_host` | uyarı | Uzak CDP özel/dahili bir ana bilgisayarı hedefliyor | browser profili `cdpUrl`, `browser.ssrfPolicy.*` | hayır | | `sandbox.docker_config_mode_off` | uyarı | Sandbox Docker yapılandırması mevcut ancak etkin değil | `agents.*.sandbox.mode` | hayır | | `sandbox.bind_mount_non_absolute` | uyarı | Göreli bind mount’lar öngörülemez biçimde çözümlenebilir | `agents.*.sandbox.docker.binds[]` | hayır | | `sandbox.dangerous_bind_mount` | kritik | Sandbox bind mount’ı engellenmiş sistem, kimlik bilgisi veya Docker soketi yollarını hedefliyor | `agents.*.sandbox.docker.binds[]` | hayır | | `sandbox.dangerous_network_mode` | kritik | Sandbox Docker ağı `host` veya `container:*` namespace-birleştirme modunu kullanıyor | `agents.*.sandbox.docker.network` | hayır | | `sandbox.dangerous_seccomp_profile` | kritik | Sandbox seccomp profili konteyner izolasyonunu zayıflatıyor | `agents.*.sandbox.docker.securityOpt` | hayır | | `sandbox.dangerous_apparmor_profile` | kritik | Sandbox AppArmor profili konteyner izolasyonunu zayıflatıyor | `agents.*.sandbox.docker.securityOpt` | hayır | | `sandbox.browser_cdp_bridge_unrestricted` | uyarı | Sandbox browser köprüsü kaynak aralığı kısıtlaması olmadan açığa çıkarılmış | `sandbox.browser.cdpSourceRange` | hayır | | `sandbox.browser_container.non_loopback_publish` | kritik | Mevcut browser konteyneri CDP’yi loopback olmayan arayüzlerde yayımlıyor | browser sandbox konteyner yayımlama yapılandırması | hayır | | `sandbox.browser_container.hash_label_missing` | uyarı | Mevcut browser konteyneri güncel yapılandırma karması etiketlerinden daha eski | `openclaw sandbox recreate --browser --all` | hayır | | `sandbox.browser_container.hash_epoch_stale` | uyarı | Mevcut browser konteyneri güncel browser yapılandırma epoch’undan daha eski | `openclaw sandbox recreate --browser --all` | hayır | | `tools.exec.host_sandbox_no_sandbox_defaults` | uyarı | Sandbox kapalıyken `exec host=sandbox` güvenli kapalı durumda başarısız olur | `tools.exec.host`, `agents.defaults.sandbox.mode` | hayır | | `tools.exec.host_sandbox_no_sandbox_agents` | uyarı | Sandbox kapalıyken ajan başına `exec host=sandbox` güvenli kapalı durumda başarısız olur | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | hayır | | `tools.exec.security_full_configured` | uyarı/kritik | Ana bilgisayar exec’i `security="full"` ile çalışıyor | `tools.exec.security`, `agents.list[].tools.exec.security` | hayır | | `tools.exec.fs_tools_disabled_but_exec_enabled` | uyarı | Dosya sistemi aracı ilkesi kabuk yürütmeyi salt okunur yapmaz | `tools.deny`, `agents.list[].tools.deny`, `agents.*.sandbox.workspaceAccess` | hayır | | `tools.exec.auto_allow_skills_enabled` | uyarı | Exec onayları skill bin’lerine örtük olarak güvenir | `~/.openclaw/exec-approvals.json` | hayır | | `tools.exec.allowlist_interpreter_without_strict_inline_eval` | uyarı | Yorumlayıcı izin listeleri zorunlu yeniden onay olmadan inline eval’e izin verir | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, exec onayları izin listesi | hayır | | `tools.exec.safe_bins_interpreter_unprofiled` | uyarı | Açık profiller olmadan `safeBins` içindeki yorumlayıcı/çalışma zamanı bin’leri exec riskini genişletir | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | hayır | | `tools.exec.safe_bins_broad_behavior` | uyarı | `safeBins` içindeki geniş davranışlı araçlar düşük riskli stdin filtre güven modelini zayıflatır | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | hayır | | `tools.exec.safe_bin_trusted_dirs_risky` | uyarı | `safeBinTrustedDirs` değiştirilebilir veya riskli dizinler içeriyor | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | hayır | | `skills.workspace.symlink_escape` | uyarı | Çalışma alanı `skills/**/SKILL.md` çalışma alanı kökü dışına çözümleniyor (sembolik bağlantı zinciri sapması) | çalışma alanı `skills/**` dosya sistemi durumu | hayır | | `plugins.extensions_no_allowlist` | warn | Plugin'ler açık bir Plugin izin listesi olmadan yüklenmiş | `plugins.allowlist` | hayır | | `plugins.installs_unpinned_npm_specs` | warn | Plugin dizini kayıtları değişmez npm belirtimlerine sabitlenmemiş | Plugin yükleme meta verileri | hayır | | `plugins.installs_missing_integrity` | warn | Plugin dizini kayıtlarında bütünlük meta verileri yok | Plugin yükleme meta verileri | hayır | | `plugins.installs_version_drift` | warn | Plugin dizini kayıtları yüklü paketlerden sapıyor | Plugin yükleme meta verileri | hayır | | `plugins.code_safety` | warn/critical | Plugin kodu taraması şüpheli veya tehlikeli kalıplar buldu | Plugin kodu / yükleme kaynağı | hayır | | `plugins.code_safety.entry_path` | warn | Plugin giriş yolu gizli veya `node_modules` konumlarını işaret ediyor | Plugin manifest `entry` | hayır | | `plugins.code_safety.entry_escape` | critical | Plugin girişi Plugin dizininin dışına çıkıyor | Plugin manifest `entry` | hayır | | `plugins.code_safety.scan_failed` | warn | Plugin kodu taraması tamamlanamadı | Plugin yolu / tarama ortamı | hayır | | `skills.code_safety` | warn/critical | Skill yükleyici meta verileri/kodu şüpheli veya tehlikeli kalıplar içeriyor | Skill yükleme kaynağı | hayır | | `skills.code_safety.scan_failed` | warn | Skill kodu taraması tamamlanamadı | Skill tarama ortamı | hayır | | `security.exposure.open_channels_with_exec` | warn/critical | Paylaşılan/genel odalar, exec etkinleştirilmiş aracılara ulaşabilir | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | hayır | | `security.exposure.open_groups_with_elevated` | critical | Açık gruplar + yükseltilmiş araçlar, yüksek etkili prompt enjeksiyonu yolları oluşturur | `channels.*.groupPolicy`, `tools.elevated.*` | hayır | | `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | Açık gruplar, sandbox/çalışma alanı korumaları olmadan komut/dosya araçlarına ulaşabilir | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | hayır | | `security.trust_model.multi_user_heuristic` | warn | Yapılandırma çok kullanıcılı görünüyor, ancak Gateway güven modeli kişisel asistandır | güven sınırlarını ayırın veya paylaşılan kullanıcı güçlendirmesi (`sandbox.mode`, araç reddi/çalışma alanı kapsamı) | hayır | | `tools.profile_minimal_overridden` | warn | Aracı geçersiz kılmaları global minimal profili atlıyor | `agents.list[].tools.profile` | hayır | | `plugins.tools_reachable_permissive_policy` | warn | Uzantı araçlarına izin verici bağlamlarda ulaşılabilir | `tools.profile` + araç izin verme/reddetme | hayır | | `models.legacy` | warn | Eski model aileleri hâlâ yapılandırılmış | model seçimi | hayır | | `models.weak_tier` | warn | Yapılandırılmış modeller mevcut önerilen katmanların altında | model seçimi | hayır | | `models.small_params` | critical/info | Küçük modeller + güvenli olmayan araç yüzeyleri enjeksiyon riskini artırır | model seçimi + sandbox/araç politikası | hayır | | `summary.attack_surface` | info | Kimlik doğrulama, kanal, araç ve maruz kalma duruşunun toplu özeti | birden çok anahtar (bulgu ayrıntısına bakın) | hayır | ## İlgili - [Güvenlik](/tr/gateway/security) - [Yapılandırma](/tr/gateway/configuration) - [Güvenilir proxy kimlik doğrulaması](/tr/gateway/trusted-proxy-auth)