AI / 자동화 2026년 4월 26일

OpenClaw MCP 서버 allowlist vs tools.exec 정책: 2026 임대 Mac mini 매트릭스

VmMac Engineering Team 2026년 4월 26일 약 23분

보안 아키텍트는 VmMac의 임대 Apple Silicon Mac miniOpenClaw를 싣고 tools.exec를 강화한 뒤에도, 모델이 여전히 고객 DB에 닿거나 아웃바운드 Webhook을 건드릴 MCP 서버에 이를 수 있다는 사실을 발견합니다. 이 2026 매트릭스는 MCP를 둘째 exec 표면으로 취급합니다. 전송은 다르지만, 폭발 반경은 비슷합니다. 신뢰 경계를 비교하고, 조인트 allowlist 패턴, 여덟 단계 거버넌스 사다리, 홍콩·일본·한국·싱가포르·미국 임대 플릿을 위한 2열 관측성 표를 다룹니다. exec 승인, 서드파티 스킬 공급망, 설치·배포와 맞추어, 어느 한 정책 파일만 남지 않게 하십시오. 접근 패턴은 도움말, 고위험 MCP 게이트웨이를 전용 호스트로 분리할 때 요금, GUI 디버깅이 꼭 필요한 비상은 VNC 브레이크 글라스로 문서화합니다.

셸이 잠겨 있어도 MCP는 둘째 exec 표면인 이유

MCP는 stdio로, 혹은 HTTP·WebSocket으로 모델을 도구에 연결하며, exec allowlist가 설계한 argv 파싱 밖을 돕니다. 손상된 MCP 서버는 tools.exec.security=deny가 대시보드에 초록이어도 “도구 결과”로 유출 청크를 흘릴 수 있습니다. MCP 카탈로그를 가산 sudoers—작고, 리뷰되고, 버전 달리고, 지루하게—취급하십시오.

  • 믿었던 LAN에서 TLS를 평문으로 내리는 전송 다운그레이드 공격.
  • 서로 다른 구현이 겹치는 이름으로 등록한 툴 섀도잉입니다.
  • 느린 MCP 호출이 워커 풀을 말리는데 CPU 알람이 안 가는 지연 마스킹입니다.
비목표: 여기엔 벤더별 JSON 키를 적지 않습니다. 규정 팀이 고른 정식 필드에 아래 정책 패턴을 매핑하십시오.

매트릭스: 전송, 신원, exec 규칙이 끊기는 곳

표면 1차 위험 자연스러운 제어 흔한 틈
tools.exec 호스트 셸 유출 argv allowlist + ask 모드 지나친 sh -c 래퍼
MCP stdio 서버 로컬 프로세스 사칭 이진 경로 핀+체크섬 launchd plist의 가변 PATH
MCP 원격 HTTP SSRF+토큰 절취 mTLS+DNS allowlist 프로드 plist에 스테이징 DNS 공유

코드 리뷰를 견디는 조인트 allowlist 패턴

git에 exec-allowlist.v1.yaml과 짝 주인이 있는 mcp-catalog.v1.json을 둡니다. MCP 항목마다 이진 SHA256 또는 컨테이너 digest, 최대 RPS, 데이터 등급 라벨(PUBLIC, INTERNAL, CUSTOMER)이 있어야 합니다. 그 VmMac 리전이 처리해도 되는 데이터 등급을 넘는 항목은 막으십시오. 항목이 바뀌면 함께 시맨틱을 올려 CI가 부분 승격을 거절합니다.

HTTP MCP는 SPKI로 인증서를 고정하고, 45일 주기로, 금요 밤 응급 절체가 아니라 겹침 창을 둡니다.

“MCP URL 하나만”이라는 모델 요청에 대해 방화벽 변경과 같이 취급: 위협 요약, 롤백 시험, 10분 안에 항목을 끄는 담당자 이름. 사후엔 프로프트 해시를 매니페스트 버전과 남깁니다. 비대화식 launchd 게이트웨이에서 MCP 클라이언트가 TCC 대화상자를 띄우지 않는지—정지로 보이지만 권한 교착일 수 있습니다.

모노레포는 MCP 도구명에 리포 접두로 네임스페이스를 붙이고, 스코프가 다른 두 서비스가 같은 호출에 응답하는 유출을 끊습니다.

공유 임대 Mac mini의 테넌시: 라벨, 포트, 상태 루트

때때로 한 mini를 두 팀이 나누어 예산을 씁니다. MCP에는 위험—프로세스 네임스페이스는 동일 커널을 공유합니다. 프로드 vs 스테이징 게이트웨이처럼 LaunchAgent 라벨, TCP 포트, 상태 디렉터리를 완전히 나누십시오. 두 팀이 같은 기본 MCP 소켓을 쓰지 않게. 충돌은 감사 지옥의 크로스 테넌트 도구 결과를 낳습니다.

수치 가드: 게이트웨이당 별도 MCP 서버 12개 상한, 넘기면 호스트를 나누거나 위험 등급으로 샤딩.

2026 8단계 거버넌스 사다리

  1. 사용 중인 모든 MCP 전송을 파악하고, 수익 워크플로에 묶이지 않은 실험용은 삭제.
  2. 실행 중 호스트에서 매니페스트를 뽑아 주마다 git과 diff.
  3. 새 MCP 이진을 프로드 exec allowlist에 묶기 전에 exec 거부 샌드박스에서 돌림.
  4. 상관 ID가 있는 구조적 로그로 MCP 연결/해제를 남김.
  5. 읽기 전용 엔드포인트에 매시간 합성 프로브.
  6. 한 리전에서 72시간 캐너리 후 전역 승격.
  7. 롤백: 전체 게이트웨이 재시작 없이 항목을 끄는, 가능할 때.
  8. 분기 테이블톱: MCP 인증서 침해를 가정하고 부하하에 회전 연습.

누군가를 깨울 관측성 신호

신호 조치
1시간에 MCP TLS 검증 실패 > 0 승격 멈춤. MITM·시간 오차
카탈로그에 없는 새 DNS 이그레스에서 차단, 보안 사고
MCP 지연 p95 > 기선의 2.5배 모델 트래픽 절제, 상류 포화

스킬은 모델에 새 MCP 연결을 시키는 프롬프트를 실을 수 있으므로 스킬 핀과 MCP allowlist는 함께 올라갑니다. exec 승인은 비상 티켓 없이 대체 MCP 슈퍼바이저 이진을 켜는 것을 금지한다고 씁니다. 양 층이 맞으면 홍콩·일본·한국·싱가포르·미국 임대 플릿은 다섯 눈덩이가 아니라 한 기기 등급처럼 굴러갑니다.

FAQ: Mac mini의 MCP vs tools.exec

운전자는 셸 플래그는 RPC 카탈로그보다 잘 기억한다고 가정하고, 이번 주 플릿이 핀한 git 태그로 링크한 한 장 치트에 두 표면을 나란히 적으십시오.

한 JSON으로 둘 다? 기술적으로는 그렇지만 리뷰어는 맥락을 놓칩니다—분리하되 번호를 엮으십시오.

MCP에 VNC가? 보통은 아니고 디버그면 break-glass 호스트, 프로드 launchd가 아닙니다.

로컬 Ollama? MCP/HTTP처럼 루프백 바인딩 검사, 0.0.0.0 리스너는 거절.

Mac mini M4·VmMac이 이중 표면 에이전트에 맞는 이유

Mac mini M4는 게이트웨이와 가벼운 MCP 서버를 스왑 압에 시달리지 않게 동거하기 쉬우며, 둘째 mini는 실험용으로 쪼갤 수 있습니다. VmMac 리전은 오케스트레이션을 다시 쓰지 않고 데이터 거주에 가깝게 MCP 집약 부하를 둡니다. 임대이면, 재정과 새 VM 템플릿 협상보다 빨리, 오염된 MCP 프로필을 정책 재이미징으로 버릴 수 있습니다.

고위험 MCP 게이트웨이 격리

고객 데이터 경로에 닿기 전, 원격 MCP 전용 VmMac Mac mini를 추가합니다.