OpenClaw : approbations d’exécution et allowlists sur Mac mini de location partagé, matrice 2026 sur VmMac
Responsables plateforme qui empaquetent OpenClaw sur Mac mini Apple Silicon loué auprès de VmMac doivent considérer tools.exec comme autorité hôte de niveau root, et non un simple greffon. La documentation d’écosystème dépeint les approbations d’exécution comme l’entrefer entre agents autonomes et commandes shell : règles mêlant mode de sécurité, comportement ask et listes d’autorisation, plus un askFallback prudent sans interface graphique. Cette matrice 2026 opérationnalise le tout pour les passerelles gérées par launchd à Hong Kong, au Japon, en Corée, à Singapour et aux États-Unis. Lisez-la avec secrets & plist, isolation des profils launchd et le PATH Node afin que les approbations ne soient jamais la dernière ligne de défense.
VmMac fournit SSH et, si besoin, VNC : vous tenez des fichiers de politique et l’audit. L’aide détaille les accès, les tarifs aident à scinder agents de prod sur hôtes dédiés dès l’hardening exec.
Modèle de menace multi-locataire sur un hôte unique
Deux escouades partageant le même compte, ou le même groupe admin, n’ont pas moins d’enjeu : une dépendance compromise pourrait réécrire la politique dès qu’on lui donne l’accès. Empilez : comptes d’automatisation non admin, artefacts immuables validés en git, racines d’état séparées par environnement, et gardez un œil sur les mises à jour webhook / cron : elles comptent souvent des binaires shell cachés.
Si l’idempotence de file d’attente produit soudain des rejeux, suspectez moins l’hôte partagé que la politique qui autorise l’exécution d’un script non validé. Les deux lectures se corrigent ensemble.
- Seuil d’alerte : pagez lorsque exec.approval.requested > 40 événements / heure sur des voies headless (souvent politique fautive ou tempête d’invites).
- Seuil d’alerte : bloquez toute release si deny > 15 % des essais d’exécution en glissant 24h : vous sousexécutez en sécurité ou votre liste ne reflète plus la surface réelle.
tools.exec.security : deny, allowlist et full
Chaque cellule a une justification écrite dans le même dépôt que dépannage des démons : c’est ainsi que les SREs et la sécurité s’y retrouvent le dimanche, pas seulement l’ingénieur d’intégration heureux.
| Mode | Sens | Meilleur ajustement Mac mini | Note de risque |
|---|---|---|---|
deny |
Tout l’exec hôte interdit | Bots de recherche lecture seule | Zéro fuite shell ; peut casser des flux |
allowlist |
Commandes correspondantes seulement | Défaut pour hôtes CI partagés | Revue d’inventaire hebdo nécessaire |
full |
Exécution large | Bacs à sable éphémères | Temporaire, TTL 72h max |
Chaque brève ouverture full fait l’objet d’un post-mortem planifié : qui l’a autorisé, quelle tâche manquait dans l’automatisation, comment éviter de répéter. Sinon 2026 finit comme 2021 en « bacs à sable de secours permanents ».
Modes ask, tempêtes d’invite et askFallback en headless
Le mode always ask sans compagnon UI devient pannes auto-infligées. Préférez on-miss serré et un askFallback=deny sauf canal humain 24/7. Si la communauté modifie la sémantique d’approuver en 2026, pincez OpenClaw, lisez les notes, essayez d’abord le staging. Liez cela à sans tête vs assisté par GUI pour ne pas mélanger les exigences TCC et les politiques exec.
Les canaux d’assistance 24/7 (Slack, signaux signés) remplissent l’espace, mais n’y survolez jamais si conformité l’empêche : le déni ferme, le ticket détaille, la prod reste saine.
Forme d’allowlist : préfixes, motifs argv et piste d’audit
De bonnes listes ressemblent à de l’infra : binaires explicites, pas d’sh -c vaste, sauf script versionné. Après brew upgrade, revérifiez les chemins, croisez guide d’install ; sinon vous ajoutez des trous sans vous en rendre compte, surtout quand l’espace disque en rotation masque soudain d’anciens binaires.
Trois couches bootstrap / build / deploy, propriétaires distincts, tickets break-glass 48h : la discipline évite l’allowlist gonflée de scripts sauvages rachetant la prod.
| Schéma | Verdict | Raison |
|---|---|---|
/opt/homebrew/bin/git + sous-commandes |
✓ Préféré | Surface argv auditable |
bash -lc "curl… | sh" |
✗ Blocage | exécution en aval illimitée |
Script wrapper /usr/local/bin/vm-* |
✓ Si signé + version | concentre les mises à jour de politique |
Pourquoi launchd change l’expérience d’approbation
La session graphique n’existe pas. Liez alerte opérateur (Slack) ou VNC d’escalade ; documentez les deux, avec VNC endurci, sinon les file d’exécution attendent l’aurore, les métriques mentent, et l’on accuse l’hôte, pas l’attente.
Surveillez la profondeur de file d’attente d’approbation : > 5 éléments > 10 minutes, pages infra. C’est trop strict ou mal réglé, pas l’orchestrateur multi-agents qui s’oppose, mais la mauvaise matrice. Documentez l’argv refusé, évitez la récurrence 30 jours.
Runbook de durcissement en sept étapes
Chaque point relie l’observabilité et les journaux tels qu’décrits pour launchd (FR), afin d’éviter 80 Go de grep lors d’un incident.
- Cartographier toute brique qui exécute
execsur l’hôte, marquer obligatoire ou suppression. - Paramétrer
tools.exec.security=allowlisten staging, journaliser 7 jours de refus. - Publier l’allowlist v1 (≤ 25 entrées), chaque entrée tracée dans l’historique.
- Définir
asksuron-missetaskFallback=denycôté headless. - Brancher des journaux structurés (rotation disque) pour recherche ciblée, pas de décharges textuelles infinies.
- Répéter la montée de version de passerelle région par région (HK, JP, KR, SG, US) avant prod.
- Exercice trimestriel de type
curl | bash: confirmer un refus documenté, pas un démonstration inoffensive.
Après chaque incident, lisez récupération de passerelle plutôt que d’élargir full pour « débloquer » : c’est l’exclusion temporaire, pas la gouvernance. Les agents à fort impact méritent un hôte dédié — voir automatisation 24h — plutôt qu’une allowlist bavarde.
Parité de politique sur cinq régions
Le fuseau n’influence pas la sémantique d’exec ; les calendriers d’exploitation, eux, oui. Stockez l’empreinte des artefacts politiques et faites échouer la pipeline si un nœud dépasse d’une révision. Ajoutez de la capacité via les tarifs plutôt qu’en dilatant l’allowlist : ce raccourci se pétrifie en jours, pas en trimestres. L’alignement avec d’autres contenus — laboratoires SSH/VNC ou CI hébergée — prouve que le même hachage s’applique partout, pas seulement au Gateway.
FAQ : approbations d’exec sur Mac mini de location
La prod et le staging doivent-ils partager une allowlist ? Non — bifurquez les fichiers, fusionnez en revue comme du code d’appli, sinon vous réintroduisez 2020.
VmMac impose-t-il les règles OpenClaw ? Non : vous codez le comportement, VmMac donne l’hôte & le chemin réseau.
Que faire si la mise à jour réactive des invites inattendues ? Pincez les versions, lisez les release notes, répétez sur le staging, consultez recovery plutôt que d’invoquer l’exempt mode « pour une nuit seulement » (ça dure un trimestre).
Mac mini M4 + VmMac : haute assurance, agents disciplinés
Le Mac mini M4 Apple Silicon apporte de la prédicibilité en mono-hôte, et les frontières TCC y sont plus claires qu’en VM imbriquées, tout en s’alignant sur ce que sans tête vs GUI exige. Louer à Hong Kong, au Japon, en Corée, à Singapour, aux États-Unis isole d’abord de petits parcs pour tester la politique ; VmMac n’est pas un moteur de règles, c’est la segmentation de métal. Avec whitelists et audit, 2026 reste l’année où l’exécution hôte cesse d’impressionner négativement le bilan.
Documentez, mesurez, resserrez, répétez : les équipes d’infrastructure aiment la monotonie, les auditeurs aussi. Tant qu’exec n’est jamais la surprise, votre surface d’attaque tient l’eau, même quand l’hébergement n’est qu’une facture VmMac.
Isolez les agents avant d’assouplir l’exec
Ajoutez un Mac mini dédié dans la région VmMac la plus proche pour mûrir les allowlists loin de la production.
