Версионировать конфиг и doctor.

Нативно Docker

См. статью сравнения.

2026 OpenClaw: укрепление продакшена — экспозиция, токены шлюза, sandbox и изоляция Mac cloud

Рабочий openclaw dashboard — не релиз в прод: слушатели по умолчанию, слабая аутентификация, секреты в логах и открытый исходящий трафик в 2026 году быстро превращаются в инциденты. После первых пяти шагов и сравнения Docker/npm/исходников — чеклист из пяти строк, шестишаговая ротация токенов, сочетания sandbox/egress, изоляция на Mac cloud с бэкапом и откатом, перекрёстные ссылки с разбором ошибок.

1. Пять типичных экспозиций

Публичный шлюз без сильной аутентификации — удалённая поверхность управления. Порт 18789 на 0.0.0.0/0 быстро сканируется. Используйте таблицу вместе с гайдом по ошибкам.

Экспозиция	Признак	Риск	Действие
Прослушивание	18789 из интернета	Высокий	Loopback/приват, SG deny by default
Аутентификация	Нет токена, слабый секрет	Высокий	Случайные токены, раздельные ключи, ротация
Обнаружение	mDNS, debug	Средний	Отключить в проде
Egress	Любые URL	Высокий	Белые списки, прокси
Секреты	DEBUG, .env в образе	Высокий	Маскирование, инъекция в рантайме

Контейнер не спасёт при монтировании хоста или docker.sock. Храните конфиг в Git.

2. Шлюз и токены

Прод: привязка к 127.0.0.1, SSH-туннель или mTLS reverse proxy. Ротация: инвентарь → двойная выдача → канарейка → мониторинг 401/403 → отзыв → аудит.

ssh -L 18789:127.0.0.1:18789 user@mac-cloud -N

3. Sandbox и исходящий трафик

Запрет по умолчанию, открытие по сценарию: внешний бот — только SaaS, внутренний ops — только внутренние API.

После обновления модели или OpenClaw повторите тесты минимальных привилегий.

4. Изоляция на Mac cloud

Прод-агенты на выделенных Mac cloud, не на личном ноутбуке. Бэкап: конфиг, скрипты, версия. Обновление: новый узел, переключение, 48ч наблюдение. Быстрый старт — развёртывание за 5 минут — держите отдельно от боевой базы. Несколько инстансов: разные порты, каталоги данных, префиксы логов.

Лёгкая проверка: неразрешённый IP к 18789, неверный токен — ожидаем отказ и оповещение.

5. Выделенные узлы Mac

Долгий Windows/WSL или хаотичный Docker усложняют 24/7 с аудитом. Mac cloud с SSH и снимками проще. Аренда M4 VPSMAC передаёт питание и сеть платформе, политику и ротацию оставляет команде.

6. Вопросы

Дрейф после апгрейда?

Версионируйте конфиг и вывод doctor, сравнивайте после обновления.

Два инстанса на хосте?

Разные порты и данные; не делите токен шлюза для аудита.

Нативно vs Docker?

См. матрицу Docker/npm/исходники.