chore(i18n): refresh uk translations

This commit is contained in:
openclaw-docs-i18n[bot] 2026-04-23 08:07:46 +00:00
parent fa8ee31bfc
commit a00e926db7
2 changed files with 697 additions and 686 deletions

View File

@ -0,0 +1,130 @@
---
read_when:
- Ви побачили конкретний `checkId` у виводі `openclaw security audit` і хочете дізнатися, що це означає
- Вам потрібен ключ/шлях виправлення для заданого результату перевірки
- Ви виконуєте тріаж рівня серйозності під час запуску аудиту безпеки
summary: Довідковий каталог `checkId`, які видає аудит безпеки openclaw
title: Перевірки аудиту безпеки
x-i18n:
generated_at: "2026-04-23T08:02:58Z"
model: gpt-5.4
provider: openai
source_hash: b53a8dc798ecc8c37be43758b741c68772b10c92323ab3d26592d7b3cc2c795e
source_path: gateway/security/audit-checks.md
workflow: 15
---
# Перевірки аудиту безпеки
`openclaw security audit` видає структуровані результати перевірки з ключем `checkId`. Ця сторінка є довідковим каталогом для цих ідентифікаторів. Загальну модель загроз і рекомендації щодо посилення безпеки див. у [Security](/uk/gateway/security).
Високосигнальні значення `checkId`, які ви найімовірніше побачите в реальних розгортаннях (не вичерпний список):
| `checkId` | Серйозність | Чому це важливо | Основний ключ/шлях виправлення | Автовиправлення |
| ------------------------------------------------------------- | ------------- | ----------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | --------------- |
| `fs.state_dir.perms_world_writable` | critical | Інші користувачі/процеси можуть змінювати весь стан OpenClaw | права файлової системи для `~/.openclaw` | так |
| `fs.state_dir.perms_group_writable` | warn | Користувачі групи можуть змінювати весь стан OpenClaw | права файлової системи для `~/.openclaw` | так |
| `fs.state_dir.perms_readable` | warn | Каталог стану доступний для читання іншими | права файлової системи для `~/.openclaw` | так |
| `fs.state_dir.symlink` | warn | Ціль каталогу стану стає іншою межею довіри | структура файлової системи каталогу стану | ні |
| `fs.config.perms_writable` | critical | Інші можуть змінювати політику автентифікації/інструментів/конфігурацію | права файлової системи для `~/.openclaw/openclaw.json` | так |
| `fs.config.symlink` | warn | Символьні посилання для файлів конфігурації не підтримуються для запису й додають ще одну межу довіри | замініть на звичайний файл конфігурації або вкажіть `OPENCLAW_CONFIG_PATH` на реальний файл | ні |
| `fs.config.perms_group_readable` | warn | Користувачі групи можуть читати токени/налаштування конфігурації | права файлової системи для файла конфігурації | так |
| `fs.config.perms_world_readable` | critical | Конфігурація може розкривати токени/налаштування | права файлової системи для файла конфігурації | так |
| `fs.config_include.perms_writable` | critical | Файл включення конфігурації може бути змінений іншими | права файлів включення, на які посилається `openclaw.json` | так |
| `fs.config_include.perms_group_readable` | warn | Користувачі групи можуть читати включені секрети/налаштування | права файлів включення, на які посилається `openclaw.json` | так |
| `fs.config_include.perms_world_readable` | critical | Включені секрети/налаштування доступні для читання всім | права файлів включення, на які посилається `openclaw.json` | так |
| `fs.auth_profiles.perms_writable` | critical | Інші можуть впроваджувати або замінювати збережені облікові дані моделі | права `agents/<agentId>/agent/auth-profiles.json` | так |
| `fs.auth_profiles.perms_readable` | warn | Інші можуть читати API-ключі й OAuth-токени | права `agents/<agentId>/agent/auth-profiles.json` | так |
| `fs.credentials_dir.perms_writable` | critical | Інші можуть змінювати стан спарювання каналу/облікових даних | права файлової системи для `~/.openclaw/credentials` | так |
| `fs.credentials_dir.perms_readable` | warn | Інші можуть читати стан облікових даних каналу | права файлової системи для `~/.openclaw/credentials` | так |
| `fs.sessions_store.perms_readable` | warn | Інші можуть читати стенограми сеансів/метадані | права сховища сеансів | так |
| `fs.log_file.perms_readable` | warn | Інші можуть читати журнали, редаговані для приховування даних, але все ще чутливі | права файла журналу Gateway | так |
| `fs.synced_dir` | warn | Стан/конфігурація в iCloud/Dropbox/Drive розширює зону доступу до токенів/стенограм | перемістіть конфігурацію/стан за межі синхронізованих папок | ні |
| `gateway.bind_no_auth` | critical | Віддалене прив’язування без спільного секрету | `gateway.bind`, `gateway.auth.*` | ні |
| `gateway.loopback_no_auth` | critical | local loopback за зворотним проксі може стати неавтентифікованим | `gateway.auth.*`, налаштування проксі | ні |
| `gateway.trusted_proxies_missing` | warn | Заголовки зворотного проксі присутні, але не довірені | `gateway.trustedProxies` | ні |
| `gateway.http.no_auth` | warn/critical | HTTP API Gateway доступні з `auth.mode="none"` | `gateway.auth.mode`, `gateway.http.endpoints.*` | ні |
| `gateway.http.session_key_override_enabled` | info | Викликачі HTTP API можуть перевизначати `sessionKey` | `gateway.http.allowSessionKeyOverride` | ні |
| `gateway.tools_invoke_http.dangerous_allow` | warn/critical | Повторно вмикає небезпечні інструменти через HTTP API | `gateway.tools.allow` | ні |
| `gateway.nodes.allow_commands_dangerous` | warn/critical | Вмикає команди вузла з високим впливом (камера/екран/контакти/календар/SMS) | `gateway.nodes.allowCommands` | ні |
| `gateway.nodes.deny_commands_ineffective` | warn | Записи deny, схожі на шаблони, не збігаються з текстом shell або групами | `gateway.nodes.denyCommands` | ні |
| `gateway.tailscale_funnel` | critical | Доступність із публічного інтернету | `gateway.tailscale.mode` | ні |
| `gateway.tailscale_serve` | info | Доступ у Tailnet увімкнено через Serve | `gateway.tailscale.mode` | ні |
| `gateway.control_ui.allowed_origins_required` | critical | Control UI поза local loopback без явного списку дозволених browser-origin | `gateway.controlUi.allowedOrigins` | ні |
| `gateway.control_ui.allowed_origins_wildcard` | warn/critical | `allowedOrigins=["*"]` вимикає список дозволених browser-origin | `gateway.controlUi.allowedOrigins` | ні |
| `gateway.control_ui.host_header_origin_fallback` | warn/critical | Вмикає резервний варіант origin через заголовок Host (пониження захисту від DNS rebinding) | `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback` | ні |
| `gateway.control_ui.insecure_auth` | warn | Увімкнено перемикач сумісності з небезпечною автентифікацією | `gateway.controlUi.allowInsecureAuth` | ні |
| `gateway.control_ui.device_auth_disabled` | critical | Вимикає перевірку ідентичності пристрою | `gateway.controlUi.dangerouslyDisableDeviceAuth` | ні |
| `gateway.real_ip_fallback_enabled` | warn/critical | Довіра до резервного `X-Real-IP` може дозволити підміну IP-адреси джерела через помилкову конфігурацію проксі | `gateway.allowRealIpFallback`, `gateway.trustedProxies` | ні |
| `gateway.token_too_short` | warn | Короткий спільний токен легше підібрати перебором | `gateway.auth.token` | ні |
| `gateway.auth_no_rate_limit` | warn | Відкрита автентифікація без обмеження частоти збільшує ризик brute-force | `gateway.auth.rateLimit` | ні |
| `gateway.trusted_proxy_auth` | critical | Ідентичність проксі тепер стає межею автентифікації | `gateway.auth.mode="trusted-proxy"` | ні |
| `gateway.trusted_proxy_no_proxies` | critical | Автентифікація trusted-proxy без IP-адрес довірених проксі є небезпечною | `gateway.trustedProxies` | ні |
| `gateway.trusted_proxy_no_user_header` | critical | Автентифікація trusted-proxy не може безпечно визначити ідентичність користувача | `gateway.auth.trustedProxy.userHeader` | ні |
| `gateway.trusted_proxy_no_allowlist` | warn | Автентифікація trusted-proxy приймає будь-якого автентифікованого користувача upstream | `gateway.auth.trustedProxy.allowUsers` | ні |
| `gateway.probe_auth_secretref_unavailable` | warn | Глибока перевірка не змогла розв’язати auth SecretRef у цьому шляху команди | джерело auth для глибокої перевірки / доступність SecretRef | ні |
| `gateway.probe_failed` | warn/critical | Не вдалася жива перевірка Gateway | доступність/автентифікація Gateway | ні |
| `discovery.mdns_full_mode` | warn/critical | Повний режим mDNS рекламує метадані `cliPath`/`sshPort` у локальній мережі | `discovery.mdns.mode`, `gateway.bind` | ні |
| `config.insecure_or_dangerous_flags` | warn | Увімкнено будь-які небезпечні/ризиковані прапорці налагодження | кілька ключів (див. деталі результату перевірки) | ні |
| `config.secrets.gateway_password_in_config` | warn | Пароль Gateway зберігається безпосередньо в конфігурації | `gateway.auth.password` | ні |
| `config.secrets.hooks_token_in_config` | warn | Bearer-токен hooks зберігається безпосередньо в конфігурації | `hooks.token` | ні |
| `hooks.token_reuse_gateway_token` | critical | Токен вхідного hooks також відкриває автентифікацію Gateway | `hooks.token`, `gateway.auth.token` | ні |
| `hooks.token_too_short` | warn | Полегшує brute force для вхідного hooks | `hooks.token` | ні |
| `hooks.default_session_key_unset` | warn | Агент hooks розгалужує виконання на згенеровані окремі сеанси для кожного запиту | `hooks.defaultSessionKey` | ні |
| `hooks.allowed_agent_ids_unrestricted` | warn/critical | Автентифіковані викликачі hooks можуть спрямовувати запити до будь-якого налаштованого агента | `hooks.allowedAgentIds` | ні |
| `hooks.request_session_key_enabled` | warn/critical | Зовнішній викликач може вибирати `sessionKey` | `hooks.allowRequestSessionKey` | ні |
| `hooks.request_session_key_prefixes_missing` | warn/critical | Немає обмеження на форму зовнішніх ключів сеансу | `hooks.allowedSessionKeyPrefixes` | ні |
| `hooks.path_root` | critical | Шлях hooks — це `/`, що полегшує колізії або хибну маршрутизацію вхідних запитів | `hooks.path` | ні |
| `hooks.installs_unpinned_npm_specs` | warn | Записи встановлення hooks не закріплені за незмінними npm-специфікаціями | метадані встановлення hooks | ні |
| `hooks.installs_missing_integrity` | warn | У записах встановлення hooks відсутні метадані цілісності | метадані встановлення hooks | ні |
| `hooks.installs_version_drift` | warn | Записи встановлення hooks розходяться з установленими пакетами | метадані встановлення hooks | ні |
| `logging.redact_off` | warn | Чутливі значення потрапляють у журнали/стан | `logging.redactSensitive` | так |
| `browser.control_invalid_config` | warn | Конфігурація керування браузером недійсна ще до запуску | `browser.*` | ні |
| `browser.control_no_auth` | critical | Керування браузером відкрите без автентифікації токеном/паролем | `gateway.auth.*` | ні |
| `browser.remote_cdp_http` | warn | Віддалений CDP через звичайний HTTP не має шифрування транспорту | профіль браузера `cdpUrl` | ні |
| `browser.remote_cdp_private_host` | warn | Віддалений CDP націлений на приватний/внутрішній хост | профіль браузера `cdpUrl`, `browser.ssrfPolicy.*` | ні |
| `sandbox.docker_config_mode_off` | warn | Конфігурація Docker для Sandbox присутня, але неактивна | `agents.*.sandbox.mode` | ні |
| `sandbox.bind_mount_non_absolute` | warn | Відносні bind mounts можуть розв’язуватися непередбачувано | `agents.*.sandbox.docker.binds[]` | ні |
| `sandbox.dangerous_bind_mount` | critical | Bind mount Sandbox націлений на заблоковані системні шляхи, облікові дані або шляхи сокета Docker | `agents.*.sandbox.docker.binds[]` | ні |
| `sandbox.dangerous_network_mode` | critical | Мережа Docker для Sandbox використовує режим `host` або `container:*` зі спільним простором імен | `agents.*.sandbox.docker.network` | ні |
| `sandbox.dangerous_seccomp_profile` | critical | Профіль seccomp Sandbox послаблює ізоляцію контейнера | `agents.*.sandbox.docker.securityOpt` | ні |
| `sandbox.dangerous_apparmor_profile` | critical | Профіль AppArmor Sandbox послаблює ізоляцію контейнера | `agents.*.sandbox.docker.securityOpt` | ні |
| `sandbox.browser_cdp_bridge_unrestricted` | warn | Міст CDP браузера Sandbox відкритий без обмеження діапазону джерел | `sandbox.browser.cdpSourceRange` | ні |
| `sandbox.browser_container.non_loopback_publish` | critical | Наявний контейнер браузера публікує CDP на інтерфейсах поза local loopback | конфігурація публікації контейнера браузера Sandbox | ні |
| `sandbox.browser_container.hash_label_missing` | warn | Наявний контейнер браузера передує поточним міткам хеша конфігурації | `openclaw sandbox recreate --browser --all` | ні |
| `sandbox.browser_container.hash_epoch_stale` | warn | Наявний контейнер браузера передує поточній епосі конфігурації браузера | `openclaw sandbox recreate --browser --all` | ні |
| `tools.exec.host_sandbox_no_sandbox_defaults` | warn | `exec host=sandbox` завершується безпечною відмовою, коли Sandbox вимкнено | `tools.exec.host`, `agents.defaults.sandbox.mode` | ні |
| `tools.exec.host_sandbox_no_sandbox_agents` | warn | Для окремого агента `exec host=sandbox` завершується безпечною відмовою, коли Sandbox вимкнено | `agents.list[].tools.exec.host`, `agents.list[].sandbox.mode` | ні |
| `tools.exec.security_full_configured` | warn/critical | Host exec працює з `security="full"` | `tools.exec.security`, `agents.list[].tools.exec.security` | ні |
| `tools.exec.auto_allow_skills_enabled` | warn | Погодження exec неявно довіряють бінарним файлам Skills | `~/.openclaw/exec-approvals.json` | ні |
| `tools.exec.allowlist_interpreter_without_strict_inline_eval` | warn | Дозволені списки інтерпретаторів допускають inline eval без примусового повторного погодження | `tools.exec.strictInlineEval`, `agents.list[].tools.exec.strictInlineEval`, allowlist погоджень exec | ні |
| `tools.exec.safe_bins_interpreter_unprofiled` | warn | Бінарні файли інтерпретатора/середовища виконання в `safeBins` без явних профілів розширюють ризик exec | `tools.exec.safeBins`, `tools.exec.safeBinProfiles`, `agents.list[].tools.exec.*` | ні |
| `tools.exec.safe_bins_broad_behavior` | warn | Інструменти з широкою поведінкою в `safeBins` послаблюють модель довіри з низьким ризиком для stdin-фільтра | `tools.exec.safeBins`, `agents.list[].tools.exec.safeBins` | ні |
| `tools.exec.safe_bin_trusted_dirs_risky` | warn | `safeBinTrustedDirs` містить змінювані або ризиковані каталоги | `tools.exec.safeBinTrustedDirs`, `agents.list[].tools.exec.safeBinTrustedDirs` | ні |
| `skills.workspace.symlink_escape` | warn | `skills/**/SKILL.md` у робочому просторі розв’язується за межі кореня робочого простору (дрейф ланцюжка символьних посилань) | стан файлової системи робочого простору `skills/**` | ні |
| `plugins.extensions_no_allowlist` | warn | Plugins установлені без явного списку дозволених Plugins | `plugins.allowlist` | ні |
| `plugins.installs_unpinned_npm_specs` | warn | Записи встановлення Plugins не закріплені за незмінними npm-специфікаціями | метадані встановлення Plugin | ні |
| `plugins.installs_missing_integrity` | warn | У записах встановлення Plugin відсутні метадані цілісності | метадані встановлення Plugin | ні |
| `plugins.installs_version_drift` | warn | Записи встановлення Plugin розходяться з установленими пакетами | метадані встановлення Plugin | ні |
| `plugins.code_safety` | warn/critical | Сканування коду Plugin виявило підозрілі або небезпечні шаблони | код Plugin / джерело встановлення | ні |
| `plugins.code_safety.entry_path` | warn | Шлях входу Plugin вказує на приховані розташування або `node_modules` | `entry` у маніфесті Plugin | ні |
| `plugins.code_safety.entry_escape` | critical | Точка входу Plugin виходить за межі каталогу Plugin | `entry` у маніфесті Plugin | ні |
| `plugins.code_safety.scan_failed` | warn | Сканування коду Plugin не вдалося завершити | шлях Plugin / середовище сканування | ні |
| `skills.code_safety` | warn/critical | Метадані/код інсталятора Skill містять підозрілі або небезпечні шаблони | джерело встановлення Skill | ні |
| `skills.code_safety.scan_failed` | warn | Сканування коду Skill не вдалося завершити | середовище сканування Skill | ні |
| `security.exposure.open_channels_with_exec` | warn/critical | Спільні/публічні кімнати можуть звертатися до агентів з увімкненим exec | `channels.*.dmPolicy`, `channels.*.groupPolicy`, `tools.exec.*`, `agents.list[].tools.exec.*` | ні |
| `security.exposure.open_groups_with_elevated` | critical | Відкриті групи + привілейовані інструменти створюють шляхи prompt injection з високим впливом | `channels.*.groupPolicy`, `tools.elevated.*` | ні |
| `security.exposure.open_groups_with_runtime_or_fs` | critical/warn | Відкриті групи можуть звертатися до інструментів команд/файлів без захисту Sandbox/робочого простору | `channels.*.groupPolicy`, `tools.profile/deny`, `tools.fs.workspaceOnly`, `agents.*.sandbox.mode` | ні |
| `security.trust_model.multi_user_heuristic` | warn | Конфігурація виглядає багатокористувацькою, тоді як модель довіри Gateway — personal-assistant | розділіть межі довіри або застосуйте посилення безпеки для спільних користувачів (`sandbox.mode`, deny інструментів/обмеження робочого простору) | ні |
| `tools.profile_minimal_overridden` | warn | Перевизначення агента обходять глобальний мінімальний профіль | `agents.list[].tools.profile` | ні |
| `plugins.tools_reachable_permissive_policy` | warn | Інструменти розширень доступні в контекстах із м’якою політикою | `tools.profile` + allow/deny інструментів | ні |
| `models.legacy` | warn | Сімейства застарілих моделей усе ще налаштовані | вибір моделі | ні |
| `models.weak_tier` | warn | Налаштовані моделі нижчі за поточні рекомендовані рівні | вибір моделі | ні |
| `models.small_params` | critical/info | Малі моделі + небезпечні поверхні інструментів підвищують ризик injection | вибір моделі + політика Sandbox/інструментів | ні |
| `summary.attack_surface` | info | Зведений підсумок стану автентифікації, каналів, інструментів і поверхні експозиції | кілька ключів (див. деталі результату перевірки) | ні |
## Пов’язане
- [Security](/uk/gateway/security)
- [Configuration](/uk/gateway/configuration)
- [Trusted proxy auth](/uk/gateway/trusted-proxy-auth)

File diff suppressed because it is too large Load Diff