一、なぜ「動いている」のに最初の本番メッセージに誰も署名できないのか
コミュニティの断片はコマンドの貼り付けを教えても、ライフサイクルを証跡の鎖として書かせません。失敗の典型はモデル劣化ではなく順序の誤りです。チャネルを先に配線してから openclaw doctor を回すと、プロバイダ鍵・Gateway のリッスン先・リバースプロキシの前提がズレてもチャネル層が静かに飲み込みます。二つ目はディレクトリ物語の分裂です。openclaw init が作った workspace と launchd の WorkingDirectory やログ位置、更新スクリプトの前提が食い違うと、一度の再起動でトリアージが考古学になります。三つ目は安全を口頭のまま放置することです。openclaw security audit を通さない限り、バインド、トークン権限、ClawHub スキルの出所は特定エンジニアのチャットに閉じ込められ、担当交代で「触れないシステム」に戻ります。本章は大きな節に圧縮し、長文で一度に読める骨格にします。
経営やレビューの言葉に訳すと、これはサインオフ条件の欠落です。「緑」の意味が分からず、オンコールはどの層で止めるべきか分かりません。以降は公式の install.sh → init → doctor → channels probe → security audit を一本の線で辿り、リモート Mac の OPENCLAW_* と plist を同じ添付物の束に入れます。
二、公式スクリプト・グローバル npm・Docker を宗教戦争にしない
問いは「どれが最先端か」ではなく、十二ヶ月後も同じ digest で再現できるかです。公式 install.sh は順序と境界をスクリプトに焼き込むので、init 前にチャネルを触る迷いが減ります。npm/pnpm は Node メジャーをインフラ契約として扱えるチーム向けですが、PATH・権限・ロールバックを同じ Runbook ページに同居させないと、筋肉記憶が本番設定になります。Docker Compose は監査と隔離に強い一方、ボリューム・ブリッジ・ホスト貫通の受け入れ試験を先に設計する負荷がかかります。Gateway の挙動がまだ揺れる段階でコンテナを重ねると、切り分け時間が伸びます。
| 軸 | 公式 install.sh | npm グローバル | Docker Compose |
|---|---|---|---|
| 順序の拘束 | 高 | 中 | 低(まず I/O とネット) |
| 監査性 | スクリプト digest | lockfile とパス | イメージ digest |
| launchd 常駐 | 強い | 強い | 中(運用が増える) |
どの経路でも README に Node メジャー、パッケージマネージャ、未記録 curl フラグの禁止を書き切ってください。サイト内の npm/Docker/pnpm 比較記事と併読し、「チームの正」とする配達経路を決議文として残し、三台のノートが三宗教を生むのを止めます。
三、空ディレクトリから「返信できる」までの五手順:感覚ではなく添付で証明する
以下はスローガンではなくチケット添付チェックリストです。保存できるログやテキストが出ない段階は未完了です。個人ノートから共有リモート Mac に移す瞬間、あるいはpagerを交代するときに効きます。
- Node とディレクトリ境界を凍結:Gateway 専用ディレクトリを切り、PATH のどこが OpenClaw かを明文化し、ホームの他 CLI と衝突させない。
- 公式 install.sh と digest を記録:URL・検証コマンド・期待ハッシュを Runbook に書く。口頭の「このフラグだけ付けて」は次の検証不能なので拒否する。
- openclaw init:workspace・設定・メモリの生成を一度に確認し、テンプレをコミットする前に秘密をマスクし、「最小可動」と「本番差分」を二列で残す。
- openclaw doctor をゲート:本番チャネル接続前に必ず通す。doctor 出力を半分に切ったスクショではなく生ログを CI か添付に保存する。
- channels probe と夾具メッセージ:人を呼ぶ前に probe。最初の文は固定夾具で、デバッグノイズを成功と誤認しない。
五手順の後に答えられるべき三問は、どの版を入れたか、権威あるディレクトリはどこか、チャネル握手を楽観と切り離して検証したかです。答えられないなら証跡を修復してください。
四、チャネル沈黙の層別切り分け:モデルいじりの前に三層を見る
沈黙はすぐモデルや並列度に手を伸ばさせますが、順序はプロバイダ健全性 → Gateway のルートと bind → アダプタとコールバック URLです。probe ログは資格情報の期限、Webhook 到達性、ソケットモードのトンネル要否、bind 先のインタフェース錯誤を語れるべきです。429 記事と併読し、レート制限と握手失敗を混同しないでください。前者は HTTP やプロバイダの明示エラーが残りがちで、後者は DNS・時刻・リバプロ idle などに見えます。
| 兆候 | 仮説 | 動き |
|---|---|---|
| doctor 緑だがチャネル無音 | 資格情報かコールバック | probe とコンソール配信ログの突合 |
| 稀に成功が混じる | DNS・時計・idle | NTP とリバプロ設定 |
| 更新後に全滅 | 状態ディレクトリや env 移行漏れ | 更新 Runbook と plist の diff |
n8n のようなオーケストレーションを前に置く場合、冪等性や署名は Gateway の probe を置き換えません。添付を層に分け、ログを一ファイルに混ぜないでください。次のポストモーテムで「内部キューがリトライで溢れたのか、Gateway が落としたのか」を証明する時間を買います。
五、security audit・workspace 権限・プロバイダの真空地帯
audit はリッスン、トークン権限、ClawHub の出所(pin と diff)、リバプロや Tailscale/SSH トンネルが設計図と一致するかを一枚にまとめます。ゲートウェイ露出面の記事と併せ、発見事項に owner と期限を割り当て、週末の掃除リストで終わらせないでください。リモート Mac では画面共有やファイル共有も同じ話に含めます。init workspace には秘密のプレースホルダやメモリが載るので、Unix 権限とグループ方針、どのサービスアカウントが読めるか、CI が読み取り専用か、開発ノートが本番パスを書けるかを明文化します。複数ユーザー読み取り可能な秘密は警告ではなくブロッカーです。多テナント共有なら Gateway ごとに OS ユーザーを分け、sudo 混在を避けます。
doctor と probe の間にはプロバイダの真空があります。課金、組織ポリシー、IP 許可、出口 IP、鍵ローテ日付です。リモート出口 IP はノートと違うので事前登録がないと「probe はたまに緑、本番は真っ赤」になります。出口 IP 変更は plist と同じ変更票に載せ、二段トークン・二回 probe・失効・audit 再実行を Runbook の段落に固定し、生 plist の片手編集を禁じます。
六、リモート launchd・閾値・観測性・MACGPU の位置づけ
OPENCLAW_* とモデル秘密の注入元(plist・ファイル・秘密管理)を明示し、アップグレード後はコードより先に plist を diff します。管理 SSH と公開 Webhook を分離し、更新順序はスナップショット、doctor、チャネル変更に固定し、プロバイダ切替と Gateway 更新を同一チケットに詰め込みません。
- 一時間で三回 probe が DNS タイムアウト・401・空応答をローテするなら新規チャネルを止め、ネットと資格情報の基線へ戻す。
- 世界読み取りシークレットが二件超、または危険な bind なら公開デモを止め、修正と再テストまで。
- 初回本番メッセージが十五分確認できなければ doctor のみ・チャネル全閉の基線へ戻し、並行で機能を足さない。
観測性の五点セットは doctor、probe 生、audit 要約、マスク済み plist、プロバイダイベント ID(マスクしたコンソールの時刻付き)です。外部デモや顧客ブリッジは少なくとも前三つがないと再現性がありません。公開 Runbook と内部ミラーのみで四半期に冷起動演習をし、壊れたリンクと欠損資格情報をリンタより早く炙り出します。夜間 CI で digest 固定の doctor を成果物化し、Node メジャーを本番と揃え、probe 成功率とプロバイダ quota を並べて throttle と沈黙を分けます。
ノートは検証向きですが睡眠や PATH が挙動を歪めます。リモート Mac は専用 launchd と版固定と共有添付を約束し、常時稼働の Apple Silicon が必要なら MACGPU の公開プランから試せます。最終確認は doctor・probe・audit の三添付です。