2026 OpenClaw：ClawHub 第三者 Skill 導入前のセキュリティ監査、exec ゲート、最小権限、Mac クラウド 7×24 ゲートウェイ受け入れ

1. 痛みの分解：ClawHub が速いほど攻撃面も広がる

1. ワンクリック導入が信頼を希釈する。Skill はスクリプトや遅延ダウンロードを同梱しがちで、発行者・ハッシュ・変更履歴を飛ばすと未知コードをゲートウェイ横に置くのと同義です。改ざんメタデータ一つで 7×24 ノードに潜伏し得ます。
2. 能力境界が許可リストからずれる。モデルは圧力下で広いパスや URL を試し、寛容な出站や無確認 exec があると「合理的」な削除やクレデンシャル収集がログに並び、事後の責任分界が曖昧になります。
3. 本番と検証が同じ設定ツリーを共有する。~/.openclaw に実験 Skill を残すとアップグレードで未監査エントリが持ち上がり、共有 Mac クラウドではキーチェーンと環境変数のリスクが重なります。

目的は禁止ではなく「ポリシー付きでインストール」にすること。チェックリストと exec ゲートと観測可能な受け入れが監査可能なばらつきを圧縮します。

2. 監査マトリクス：ネットワーク、ファイルシステム、実行、シークレット

表を一枚紙にし、本番ハードニング記事 の露出面と突き合わせ、未充足なら本番タグを付けないでください。

変更ウィンドウでは callable ツール集合のスナップショットを必ず残し、モデルの探索的呼び出しと Skill の静かな権限拡大をログ上で切り分けられるようにします。出站許可は「一時デバッグ」も期限とオーナーを付け、インストール時の一回きり fetch が恒久的コールホームに化けないようレビューします。

本番プロファイルへ取り込む前に、Skill が参照する外部 URL とファイルパスをスプレッドシートに列挙し、オーナーと有効期限を紐付けます。列が空欄のままなら、その Skill はまだ「観測できないブラックボックス」であり、ゲートウェイに載せる理由がありません。

JSONL には Skill 名とツール結果コードを最低限残し、閾値超えでPagerに飛ばすルールをテンプレ化しておくと、夜間の初動が速くなります。

3. 七ステップ：取得から Mac クラウド受け入れまで

1. 版と出所の固定（URL・タグ・ダイジェスト、latest 漂流禁止）
2. 隔離展開と静的審査（eval、パイプ、平文トークン探索）
3. 最小権限スモーク（捨て Mac クラウドで出站と書き込み先を絞る）
4. exec ゲート（既定確認、CI 例外はログ必須）
5. launchd 整合（専用ユーザー、plist、ログパス固定）
6. 観測とアラート（JSONL で Skill 名・終了コード・遅延）
7. ロールバックと摘除（旧マニフェスト保持、無効化スイッチを四半期演習）

受け入れ時に実効ユーザーと launchd 関係を確認し、リスナー検査と併用します。

4. 硬い指標

• 承認：初回本番は二人レビュー、ハッシュと差分を 180 日以上保管
• ローテーション：ゲートウェイトークンは四半期、緊急時は 24 時間以内の強制ローテーション
• 演習：四半期ごとに高危険 Skill 摘除＋設定巻き戻し、RTO を手帳化
• ヘッドルーム：7×24 ノードは CPU 約 20% 余力とディスク水位で Skill 尖峰からヘルスを守る

5. FAQ

問：Docker と doctor の順序は。 コンテナなら終了コードとマウントを先に、続けて openclaw doctor でスキーマ確認。ネットワーク層と Skill ロジックを混同しないこと。

問：自動更新は。 本番では silent 禁止。版固定と変更チケットでイメージと同期。

問：Mac クラウドとノート混在は。 本番は常駐 Mac クラウド、ノートは開発のみ。同一トークンは帰属とローテーションを壊します。

問：監査後に出站を全域開放してよいか。 段階的に必要ドメインのみ。一週間観察しドメイン命中率をログで追う。

アップグレード前後でツール一覧の差分を取り、web_fetch / exec / 書き込み先の増分は第二承認へ。

ノートや使い捨てコンテナだけに本番ゲートウェイを載せると睡眠・手動更新・回線不安定という負債が残り、Docker はさらにボリュームと名前空間の謎を足します。監査可能な 7×24 にしたいチームには、SSH と launchd の運用が揃う VPSMAC 専用 Mac クラウド にゲートウェイを置く方が静かです。監査表の後はハードニング記事でトークンとサンドボックスを締めてください。