OpenClaw 実行承認と allowlist:共有レンタル Mac mini 2026(VmMac)
プラットフォームのセキュリティ責任者は、VmMac のレンタル Apple Silicon Mac miniに OpenClaw を載せるとき、tools.exec を「ただのプラグイン」ではなくホストに根ざした実行の根権限だと扱うべきだ。コミュニティ文書の exec 承認は、自律エージェントとシェルコマンドのインターロックとして説明され、セキュリティモード・ask 挙動・allowlist、そして UI がないときの保守的な askFallback を束ねる。本 2026 マトリックスはそれを、launchd 管理下のゲートウェイで、香港・日本・韓国・シンガポール・米国向けの運用に落とし込む。併せて 秘密・環境と LaunchAgent plist、ステージングと本番の launchd 分離、Node PATH の矯正を読み、承認が唯一の防壁にならないようにしよう。
2026 年の上流議論では、プロダクト更新が承認の意味やタイムアウト、full モードの扱いを静かに変えうる。バージョンを固定し、リリースノートを読み、ステージングの mini でリハーサルしてから本番へ。熱血パッチで一時的に full を開いた事実は、期限付きチケットと自動失効付きで残す。
VmMac は SSH と任意の VNC を提供する。ポリシーと監査は利用側の持ち物だ。ヘルプを参照し、本番エージェントを切り出すまえに 料金を見積もれ。ホワイトリストの CODEOWNERS や変更窓、argv プレフィックスのレビュー観点を 1 枚にまとめれば、夜間の「誰が緩めたのか」争いを減らせる。
単一 macOS ホスト上の共有テナント脅威モデル
二つの部隊が同じ macOS ユーザを共有する、あるいは別ユーザでも同じ管理グループでポリシーを書き換えられるなら、allowlist だけでは侵害された依存がディスク上の方針を上書きするのを防げない。層を積め:非管理員の自動化アカウント、起動時チェック付きの git 管理・不変の方針成果物、環境別の 分かれた OpenClaw 状態ルート。常駐エージェントを動かす同じ箱に、二人以上の人間が sudo を持つなら、役割を分けるまで 非準拠とラベルしろ。レンタルではコスト圧で実験を同じ金属に乗せがちで、その誘惑は脅威モデルの最初の変数に置け。
合宿レビューでデモを要求しよう:GUI を一切触れず、ファイル操作だけで allowlist を一時的に広い設定へ曲げられないなら、観測可能な拒否とアラートが足りていない。
- 数値アラート: 無人レーンで exec.approval.requested が 1 時間に 40 件を越えたらページャー。方針バグかプロンプト嵐のどちらか。
- 数値アラート: 1 日ローリングで deny が実行試行の 15% を越えたらプロモ停止。安全に任せ切れていない箇所がある。
tools.exec.security: deny, allowlist, full
| モード | 意味 | VmMac mini での適所 | リスク |
|---|---|---|---|
deny |
ホスト exec をすべて拒否 | リードオンリー調査 bot | シェル流出ゼロ;ワークが壊れうる |
allowlist |
合致するコマンドのみ | 共有 CI 隣接ホストの既定 | 週次レビュー必須 |
full |
寛容な実行 | 短命のサンドボックスだけ | 仮とし最長 72h TTL |
Ask モード、プロンプト嵐、無頭 launchd 向け askFallback
Ask は危険コマンドにオペが捺印が必要かを決める。launchd 下で 毎回 ask し、UI もフォローアラートもなければ自傷:タイムアウトまで足止めだ。無人ホストは on-miss+厳格 allowlist を推奨し、askFallback を deny に。24/7 指揮チャンネルが本当にあるときだけ例外的に。2026 年の上流会話のとおり、承認の解釈が変わるリリースは OpenClaw をピン留めし、本番前にステージでリハを。
allowlist の形: 接頭辞、argv、監査可能性
良い allowlist はインフラコードに似る。/usr/bin や /bin、ピン留め工具への明示パス。git に入ったレビュー済みラッパがない限り、広い sh -c ワイルドカードは与えない。Homebrew 更新でパスが動いたら表を回し、導入・展開ガイドのチェックポイントと揃えろ。可読性のため 三層に割れ:ブートストラップ(パッケマネと健康チェック)、ビルド、デプロイ。各層に CODEOWNERS。インシデントでは非ブートストラップ層を先に凍結し、full 開口を避けたままゲートウェイを再起動できるようにする。破窓条項は 48h で自動失効+戻しチケット。忘れ去られたワイルドカードが再侵入するのが典型だ。
| パターン | 判断 | 理由 |
|---|---|---|
/opt/homebrew/bin/git 固定サブコマンド |
◎ 推奨 | argv が監査可能 |
bash -lc "curl … | sh" |
✗ 拒否 | 下流の exec 面が無制限 |
/usr/local/bin/vm-* ラッパ |
◎ 署名+版付きなら | 方針変更の一点集約 |
launchd が承認 UX を変える理由
インタラクティブ利用者は UI で承認を潰せるが、launchd エージェントは違う。補完は二択:署名付き承認 URL を飛ばす オペ・ペア作業か、文書化された専用 VNC 破窓アカウント(VNC 硬化と同じ章)。夜中に誰も見ていない GUI プロンプトに置き去りにするな。承認待ちバックログ:常に 5 件超が 10 分続くならインフラ呼び出し。継続は allowlist か ask の設定が現実のタスクに合っていないサイン。インシデントでは拒否 argv プレフィックスをぺインに記録し、30 日以内の二度目の人間起こしを防ぐ。多エージェント群は 24h 自動化の記事のとおり、高リスク工具は deny 既定の厳しめホストへ、主に読みの研究用は別ラベル——リスク混線が承認をノイズ化する。
七歩:ハード化ランブック
- host exec を呼ぶ道具を列挙し、要存続か削るかを付す。
- ステージで
tools.exec.security=allowlist、7 日否ログを採取。 - allowlist v1 を ≤25 行にし、
git blameに理由を残す。 - 無人ホストに
ask=on-missとaskFallback=deny。 - 構造化ログとローテに承認イベントを配線。
- 五リージョンそれぞれの VmMac mini でアップグレード稽古。
- 四半期レッドチーム:
curl | bash系を試し、拒否経路を確認。
五リージョン方針パリティ
遅延は意味を変えないが、担当のカレンダーは変える。金曜のシンガポールと木曜の米国で方針が一版ズレる。方針のチェックサムを可観測性基盤に置き、一地域でも二版以上の差は CI 失敗で止める。負荷で一時的に白名を広げる前に、数日で借りが生じる。先に 価格を見て台数を足せ。
FAQ: レンタル Mac mini の承認
stg/prod は同じ allowlist でよい? 否。アプリと同じく分岐・レビュー。
VmMac は OpenClaw を強制する? しない。我々は実機と経路。実装は顧客。
アップグレードでプロンプトが戻る? 版固定、リリースノート、ゲートウェイ回復手順付きのステージング再演習を。
高保証のエージェントに Mac mini M4 / VmMac が合う理由
常時 ON の性能が読みやすく、TCC 境界もネストした VM より体験的に明確。香港・日本・韓国・シンガポール・米国で小さめフリートに危険な exec 方針を隔離し、拡大前に焼き付けよ。VmMac はポリシーエンジンではないが、区切れる金属を渡す。テナンシーと allowlist を併用すれば、自律ツールの経費は地味に見えるはずだ。
