2026 OpenClaw:ClawHub 서드파티 Skill 도입 전 보안 감사, exec 게이트, 최소 권한, Mac 클라우드 7×24 게이트웨이 인수
커뮤니티 Skill은 속도를 높이지만 공급망 리스크를 게이트웨이와 비슷한 권한 평면으로 끌고 옵니다. 이 글은 아웃바운드·파일시스템·명령 실행·장기 토큰을 가로지르는 인쇄 가능한 감사표, ClawHub에서 가져와 프로덕션 서명까지 이어지는 일곱 단계, Runbook에 붙일 수 있는 수치 지표, Docker 종료 코드·볼륨 마운트와 openclaw doctor 스키마 검증을 나누는 FAQ를 정리합니다. 주말 노트북 실험이 아니라 Mac 클라우드에서 7×24 업무 입구로 OpenClaw를 운영하는 팀을 대상으로 합니다.
1. 문제 요약:ClawHub가 빠를수록 공격면도 빨리 넓어진다
- 원클릭 설치가 신뢰를 희석한다. Skill은 스크립트·템플릿·지연 다운로드를 묶는 경우가 많고 발행자·해시·변경 이력을 건너뛰면 알 수 없는 코드를 게이트웨이 옆에 두는 것과 같습니다. 변조된 메타데이터 하나로 7×24 노드에 오래 숨을 수 있습니다.
- 능력 경계가 허용 목록에서 벗어난다. 모델은 압박에서 더 넓은 경로와 URL을 시도하고, 관대한 아웃바운드나 확인 없는
exec가 있으면 로그에 “그럴듯한” 삭제나 자격 증명 수집이 쌓여 사후 책임 구분이 어려워집니다. - 프로덕션과 실험이 같은 설정 트리를 공유한다.
~/.openclaw에 실험 Skill을 남기면 업그레이드 때 미감사 항목이 같이 올라오고, 공유 Mac 클라우드에서는 키체인·환경 변수 위험이 겹칩니다.
목표는 금지가 아니라 “정책 하에서만 설치”입니다. 체크리스트·exec 게이트·관측 가능한 인수 기준이 감사 가능한 분산을 줄입니다.
2. 감사 매트릭스:네트워크, 파일시스템, 실행, 비밀
| 차원 | 필수 확인 | 전형적 리스크 | 완화 |
|---|---|---|---|
| 아웃바운드 | 고정 도메인 선언, 사설망 스캔 가능 여부 | SSRF, 메타데이터, 횡적 이동 | 허용 목록이 있는 이그레스 프록시. RFC1918 예외는 이중 통제 |
| 파일 | 작업공간 밖 쓰기, SSH 키 영역 | 민감 파일 일괄 유출 | 읽기 전용+명시 쓰기 하위 디렉터리. ~/.ssh 기본 거부 |
| 실행 | 패키지 관리자·컴파일러 호출 | 2차 다운로드, 지속성 | exec.ask 등. 고위험 명령은 별 화이트리스트 |
| 비밀 | 환경 변수·템플릿·로그 평문 | 로그 유출, 이미지 레이어 잔류 | 런타임 주입·마스킹. 로테이션을 Runbook에 명시 |
표를 한 장짜리 “출격 게이트”로 인쇄하고 프로덕션 하드닝 글의 노출면과 교차 확인하세요. 필수 행이 채워지기 전에는 프로덕션 태그를 붙이지 마십시오.
변경 창에서는 호출 가능한 도구 집합의 스냅샷을 남겨 모델의 탐색적 호출과 Skill의 조용한 권한 확대를 로그로 분리합니다. “임시 디버그” 아웃바운드에도 만료와 담당자를 붙이고, 설치 시 한 번만 가져오던 fetch가 영구 콜홈으로 바뀌지 않게 검토합니다.
프로덕션 프로필에 넣기 전 Skill이 참조하는 외부 URL과 파일 경로를 스프레드시트에 나열하고 담당자·만료를 연결합니다. 빈 칸이 남으면 아직 “관측 불가 블랙박스”이므로 게이트웨이에 올릴 근거가 없습니다.
JSONL에는 Skill 이름과 도구 결과 코드를 최소한 남기고, 임계값 초과 시 Pager로 보내는 규칙을 템플릿화하면 야간 대응이 빨라집니다.
게이트웨이가 컨테이너든 베어메탈이든, Skill 매니페스트는 Git으로 버전 관리하고 프로모션 파이프라인이 “스테이징 통과” 없이 프로덕션 디렉터리를 덮어쓰지 못하게 잠금을 겁니다. 한 번의 실수로 공격면이 넓어지는 것을 막는 가장 값싼 장치입니다. 팀 전체가 같은 규칙을 보게 됩니다.
3. 일곱 단계:가져오기부터 Mac 클라우드 인수까지
- 버전과 출처 고정(URL·태그·다이제스트,
latest표류 금지) - 격리 전개·정적 검토(
eval, 파이프, 평문 토큰 탐색) - 최소 권한 스모크(일회 Mac 클라우드에서 아웃바운드·쓰기 제한)
exec게이트(기본 확인, CI 예외는 로그 필수)- launchd 정렬(전용 사용자, plist, 로그 경로 고정)
- 관측·알림(JSONL로 Skill·종료 코드·지연)
- 롤백·제거(이전 매니페스트 보존, 비활성 스위치를 분기마다 연습)
인수 시 실효 사용자와 launchd 관계를 확인하고 리스너 검사와 함께 쓰십시오.
4. 수치 지표
- 승인: 첫 프로덕션은 이인 검토, 해시·차분 180일 이상 보관
- 로테이션: 게이트웨이 토큰 분기, 긴급 시 24시간 내 강제 로테이션
- 훈련: 분기마다 고위험 Skill 제거·설정 롤백, RTO를 핸드북에 기록
- 헤드룸: 7×24 노드는 CPU 약 20% 여유와 디스크 수위로 Skill 피크가 헬스를 굶기지 않게
5. FAQ
질:Docker와 doctor 순서는. 컨테이너면 종료 코드와 마운트를 먼저, 이어서 openclaw doctor로 스키마 확인. 네트워크 층과 Skill 로직을 섞지 마십시오.
질:자동 업데이트는. 프로덕션에서 silent 금지. 버전 고정·티켓으로 이미지와 동기화.
질:Mac 클라우드와 노트 혼용은. 프로덕션은 상주 Mac 클라우드, 노트는 개발만. 동일 토큰은 귀속·로테이션을 망가뜨립니다.
질:감사 후 아웃바운드를 전 구간 개방해도 되나. 필요 도메인만 단계적으로. 일주일 관찰과 도메인 적중률 로그.
업그레이드 전후 도구 목록 차분을 남기고 web_fetch·exec·쓰기 경로 증가는 2차 승인으로.
노트북이나 일회 컨테이너만으로 프로덕션 게이트웨이를 올리면 수면·수동 업데이트·불안정 회선 부채가 남고 Docker는 볼륨·네임스페이스 수수께끼를 더합니다. 감사 가능한 7×24를 원하면 SSH·launchd 습관이 맞는 VPSMAC 전용 Mac 클라우드에 게이트웨이를 두는 편이 조용합니다. 감사표 후에는 하드닝 글로 토큰과 샌드박스를 더 조이십시오.