AI/自動化 2026年4月26日

租賃 Mac mini:OpenClaw MCP 伺服器允許清單與 tools.exec 政策 2026 矩陣

VmMac 工程團隊 2026年4月26日 約 23 分鐘

在 VmMac 租用的Apple Silicon Mac mini 上推出 OpenClaw資安架構師,多半已把 tools.exec 收緊——卻仍發現模型能連上可讀客戶資料庫或觸發外送 webhook 的 MCP 伺服器。本 2026 矩陣把 MCP 視為第二層執行介面:傳輸不同、爆炸半徑相近。內文比較信任邊界、示範聯合允許清單型態、帶你走完八階治理階梯,並附雙欄可觀測性表,涵蓋香港、日本、韓國、新加坡、美國機群。建議併讀 執行審批與白名單第三方技能供應鏈與釘選,以及 安裝與佈署指南,避免只剩單一政策檔當防線。連線與導覽可自 首頁 進入;說明中心 涵蓋存取型態,若要把高風險 MCP 閘道隔到專用主機,請參考 定價,必要時以 VNC 做中斷除錯(勿在正式 launchd 上依賴互動)。

佈署實務上請把 說明與 SSH 流程 當成日常參考;需要獨立閘道時用 方案與區域 擴線。

為何在殼層已鎖定時,MCP 仍是第二戰面

MCP 以結構化協定把模型接到工具——常見 stdio,亦可能是 HTTPWebSocket——繞過你為 exec 允許清單設計的 argv 解析。遭入侵的 MCP 伺服器可以把外洩片段串流成「工具結果」,而儀表板上 tools.exec.security=deny 仍顯示綠燈。請把 MCP 目錄當成額外 sudoers:精簡、審查、版控、無戲劇性。

  • 在你以為可信任的區網上,以降級傳輸把 TLS 換成明文的攻擊。
  • 兩台 MCP 伺服器註冊重疊能力名稱但實作不同的工具影子
  • 慢速 MCP 呼叫耗盡閘道 worker 池,卻不觸發 CPU 告警的延遲遮罩
非目標:本文不背書特定廠商 JSON 欄位——在合規團隊選定正式名稱後,你可把此處政策型態映射到實際 OpenClaw 版本。

矩陣:傳輸、身分,以及 exec 規則何處失效

介面 主要風險 自然控制手段 常見漏洞
tools.exec 主機殼層外洩 argv 白名單+詢問模式 過寬的 sh -c 包裝
MCP stdio 伺服器 本機行程冒充 二進位路徑釘選+校驗和 launchd plist 內可變的 PATH
MCP 遠端 HTTP SSRF 與權杖竊取 mTLS+DNS 白名單 正式 plist 仍指向預備 DNS

能通過審查的聯合允許清單型態

在 git 中存兩份成品:exec-allowlist.v1.yamlmcp-catalog.v1.json,並指定成對擁有者。每一筆 MCP 條目須寫明二進位 SHA256 或映像摘錄、最大 RPS,以及 資料分級 標籤(PUBLIC、INTERNAL、CUSTOMER)。若宣告的資料分級超過該主機所在 VmMac 區域可處理者,審查應擋下。條目變更時一併遞增語意化版本,讓 CI 能拒絕單邊晉升。

針對 HTTP MCP,以 SPKI 雜湊釘選憑證,以45 天為迴轉節奏並保留重疊窗,避免週五緊急切斷。

當模型要求「多加一個 MCP URL」時,請當成防火牆變更:要威脅簡報、回滾測試,以及能在 10 分鐘 內停用目錄條目並能點名到的值班。併行記錄提示雜湊與清單版本,事後才能區分是政策迴歸還是模型飄移。若閘道在無交談的 launchd 下執行,還要確認 MCP 客戶端不會彈出無人可答的 TCC 提示——那看起來像斷線,實則是權限死結。

在多倉庫的單一巨倉內,請以儲存庫前綴命名 MCP 工具,避免兩個服務以不同資料範圍意外滿足同一道呼叫。這點小命名成本,能防共享 mini 上最陰險的跨專案外洩。

共享租賃 Mac mini 的租戶:標籤、埠與狀態根

部分 VmMac 客戶為了預算兩組 squad 共用一臺 mini——對 MCP 特別危險,因為仍共用同一顆核心。請像區隔正式與預備閘道一樣,拆開 LaunchAgent 標籤、TCP 埠狀態目錄。絕不讓兩隊指向同一預設 MCP 通道路徑;碰撞會產生難以稽核的跨租戶工具回傳。

數值護欄:每座閘道的相異 MCP 伺服器上限建議 12 台;超過請拆主機或依風險等級分片。

2026 八階治理階梯

  1. 盤點在用的每種 MCP 傳輸;刪掉未掛營收流程的實驗性節點。
  2. 從實機產生清單,每週與 git 差分。
  3. 在拒絕 exec 的沙盒主機等級先跑新二進位,再與正式 exec 白名單配對。
  4. 為 MCP 連線/斷線啟用結構化日誌與關聯 ID。
  5. 以合成探針每小時只讀呼叫每個 MCP 端點。
  6. 在單一區域金絲雀 72 小時 再全球晉升。
  7. 文件化還原:在可行時只停用目錄條目、不必重啟整座閘道。
  8. 每季演練:假設 MCP 憑證外洩,在負載下排練旋轉。

應讓人接電話的可觀測性訊號

訊號 處置
一小時內 MCP TLS 驗證失敗 > 0 凍結晉升;調查 MITM 或時鐘偏移
新 DNS 名稱未在目錄內 在出口阻擋;開資安事件
MCP 延遲 p95 高於基線 2.5 倍 限流模型流量;檢查上游飽和

技能會載入可能指示模型開新 MCP 連線的提示,因此 技能釘選 與 MCP 允許清單必須一起晉升。執行審批 裡的 exec 政策應明文禁止在沒有破窗工單時啟動替代 MCP 監督行程。兩層對齊後,你在香港、日本、韓國、新加坡、美國的租賃叢集才像單一家電等級,而非五座雪花。

常見問題:Mac mini 上的 MCP 與 tools.exec

Runbook 應假設值勤者更記得殼層旗標、而非 RPC 目錄——請出版單頁速查,左右並列兩戰面,並連到本週釘選的 git 標籤。

一份 JSON 能同時管兩者嗎? 技術上可以,但審查者易漏脈絡——請分檔並綁定版本號。

MCP 伺服器需要 VNC 嗎? 多數不用;要除錯可以——請用破窗專用主機,勿在正式 launchd 上靠 VNC。

本機 Ollama 端點呢? 視作 MCP/HTTP,檢查僅 loopback 綁定,拒絕 0.0.0.0 監聽。

為何 Mac mini M4 與 VmMac 適合雙戰面代理

Mac mini M4 的統一記憶體足夠同置閘道與輕量 MCP 伺服器,而不致長期觸及 swap 壓力,同時你仍可多租一臺做實驗。VmMac 在香港、日本、韓國、新加坡、美國 的佈點讓你能把偏重 MCP 的工作貼近資料落地需求,而無需重寫編排。租賃代表你能用重刷政策比跟財務談新 VM 範本更快丟棄被污染的 MCP 設定檔。

隔離高風險 MCP 閘道

在觸及客戶資料路徑前,先為遠端 MCP 傳輸加一臺專用 VmMac Mac mini。