Diff config et doctor après upgrade.

2026 OpenClaw durcissement prod : exposition, jetons gateway, sandbox et isolation Mac cloud

Un openclaw dashboard fonctionnel n'est pas une mise en prod : écoute par défaut, auth faible, secrets dans les logs et egress ouvert deviennent incidents en 2026. Après les cinq premières étapes et le comparatif Docker/npm/source, voici une checklist à cinq lignes, une rotation de jetons en six étapes, des combinaisons sandbox/egress, l'isolation sur Mac cloud avec sauvegarde/rollback, et des renvois vers le guide d'erreurs.

1. Cinq expositions typiques

Gateway public sans auth forte surface de contrôle à distance. Le port 18789 ouvert en 0.0.0.0/0 attire les scans. Croisez avec dépannage.

Exposition	Signe	Gravité	Action
Écoute	18789 sur Internet	Haute	Loopback/privé, SG deny by default
Auth	Pas de jeton, secret faible	Haute	Jetons aléatoires, clés séparées, rotation
Découverte	mDNS/debug actifs	Moyenne	Désactiver en prod
Egress	URLs arbitraires	Haute	Listes blanches, proxy
Secrets	Logs DEBUG, .env dans image	Haute	Redaction, injection runtime

Les conteneurs ne remplacent pas l'isolation si montages sensibles. Versionnez la config dans Git.

2. Gateway et jetons

Prod : liaison 127.0.0.1, tunnel SSH ou reverse-proxy mTLS. Rotation en six étapes : inventaire, double émission, canary, surveillance 401/403, révocation, audit.

ssh -L 18789:127.0.0.1:18789 user@mac-cloud -N

3. Sandbox et egress

Refus par défaut, ouverture par cas d usage : bot externe SaaS uniquement, ops interne API interne seulement.

Relancez les tests moindre privilège après upgrade modèle ou OpenClaw.

4. Isolation Mac cloud

Agents prod sur Mac cloud dédiés, pas sur laptop perso. Sauvegarde config + scripts + version. Upgrade : nouveau nœud, bascule, 48h de garde. Rapide : déploiement 5 minutes séparé. Multi-instance : ports, répertoires de données, préfixes de logs distincts.

Test léger : IP non autorisée sur 18789, jeton invalide—vérifier refus et alertes.

5. Nœuds Mac dédiés

Windows/WSL et Docker ad hoc compliquent le 24/7 auditables. Mac cloud SSH + snapshots simplifie. Louer des M4 VPSMAC délègue alimentation et réseau ; vous gardez politique et rotation.

6. FAQ

Dérive après upgrade ?

Versionner config et sortie doctor, diff et alertes sur listeners/outils.

Deux instances ?

Séparer ports et données ; éviter jetons gateway partagés pour l'audit.

Natif vs Docker ?

Voir matrice Docker/npm/source.