2026 OpenClaw 從 ClawHub 引入第三方 Skill 前的安全審計清單：exec 門控、權限最小化與 Mac 雲 7×24 網關驗收表

1. 痛點拆解：ClawHub 裝得越快，攻擊面擴得越快

1. 供應鏈信任被「一鍵安裝」稀釋：Skill 往往捆綁腳本、模板與外部拉取；若未核對發布者、版本哈希與變更記錄，等價把未知代碼放進與網關同權限的上下文。一次被投毒的元數據或壓縮包，就能在 7×24 網關上長期潛伏。
2. 能力邊界與工具白名單不對齊：模型在壓力下會嘗試更寬的文件系統或網絡路徑；若 Skill 默認授予寬出站或未限制 exec，網關日誌裡會出現「看似合理」的批量刪除或憑證抓取。事後追責很難區分是模型越權還是 Skill 設計如此。
3. 生產與實驗共用同一配置目錄：把測試 Skill 留在 ~/.openclaw 與生產 Gateway 混用，升級或熱加載時容易把未審計條目帶上線；Mac 雲節點若再疊加多用戶 SSH，鑰匙串與環境變量洩露面會疊加。

目標不是禁止社區創新，而是把「能裝」變成「敢裝」：用可勾選的審計表、明確的 exec 門控與可觀測驗收，把風險壓到團隊可承受區間。

2. 審計矩陣：網絡、文件系統、命令執行、密鑰與 Token

建議把上表列印為「上線前一頁紙」，與站內 OpenClaw 生產加固長文 的暴露面章節交叉打勾；未全部通過前，不要把該 Skill 標記為生產可用。

3. 七步落地：從 ClawHub 拉取到 Mac 雲網關驗收

1. 凍結版本與來源：記錄倉庫 URL、tag/commit、包哈希；禁止「latest」 silent 漂移。
2. 離線或半離線審讀：在隔離目錄展開，先跑靜態檢索（敏感詞、curl/bash 管道、eval）。
3. 最小權限試運行：在只讀沙箱或臨時 Mac 雲節點跑 smoke，限制出站與文件寫路徑。
4. 配置 exec 門控：默認需確認；對 CI 類批處理單獨策略並審計日誌。
5. 與 launchd 對齊：生產 Gateway 用獨立用戶與 plist；崩潰重啟與日誌路徑固定，避免與交互式會話混用環境變量。
6. 觀測與告警：JSONL 或網關日誌中跟蹤 Skill 名、工具調用結果碼；異常頻率閾值觸發告警。
7. 回滾與摘除：保留上一版 Skill 清單；一鍵禁用開關寫進 Runbook，演練季度一次。

4. 可引用硬指標（寫進驗收表）

• 審批門檻：第三方 Skill 首次上生產至少需兩人覆核（安全 + 業務 Owner），並保留哈希與 diff 記錄不少於 180 天。
• 密鑰輪換：網關 Token 建議按季度輪換；緊急通道下可在 24 小時內強制輪換並回放日誌比對。
• 演練頻率：每季度做一次「摘除高危 Skill + 回滾 Gateway 配置」演練，目標恢復時間 RTO 寫入值班手冊。
• 並發與資源：Mac 雲 7×24 網關節點建議為 Gateway 單獨保留約 20% CPU 餘量與穩定磁碟水位，避免 Skill 編譯峰值把健康檢查拖死。

5. FAQ：和 Docker 排障、doctor 怎麼分工？

問：Skill 出問題先查 Docker 還是先查 doctor？ 若 Gateway 跑在容器裡，先看容器退出碼與卷掛載，再用 openclaw doctor 校驗配置 schema；不要把 Skill 邏輯錯誤誤判為網絡層。

問：ClawHub Skill 能否自動更新？ 生產不建議 silent auto-update；應走固定版本 + 變更工單，與鏡像發布節奏對齊。

問：Mac 雲與筆記本混用可以嗎？ 生產 Gateway 應固定在 Mac 雲常駐節點；筆記本僅作開發沙箱，避免同一 Token 在兩端漂移。

此外，建議在變更窗口內對「模型可調用的工具列表」做基線快照：升級前後 diff 若出現新增 web_fetch、exec 或文件寫路徑，必須二次籤字，以區分模型探索性行為與 Skill 靜默擴權。

問：審計通過後可以放寬出站嗎？ 仍不建議一次性放開；先僅允許業務必需域名，觀察一周無異常再評估擴容，並在日誌中保留域名級命中率報表。

僅依賴筆記本或臨時容器「湊合」跑帶第三方 Skill 的生產網關，短期省事，卻在睡眠策略、人為升級與網絡抖動上持續欠債；Docker 雖靈活，也會引入額外排障層。若你要在 2026 年把 OpenClaw 做成可審計、可回滾、可 7×24 的業務入口，把 Gateway 落在專用 Mac 雲節點、配齊 SSH 與 launchd 運維習慣，通常比混用環境更穩。完成 Skill 審計表後，可繼續對照站內 生產加固長文 收斂 Token 與沙箱組合。