OPENCLAW_2026
TASK_BRAIN_
APPROVAL_
LOG_RUNBOOK.

// 課題:Task Brain 系の制御面更新後に承認が進まないClawHub インストールがポリシーで拒否、または Gateway でサイレント deny——原因は多くの場合、承認カテゴリ・プラグイン信頼境界・launchd の OPENCLAW_*openclaw.json と二重化していることです。結論:症状マトリクス、5 手順の安全展開、閾値 3 つ、doctor → channels probe → logs の順序。参照:アップグレード/認証 v2露出面Docker/WSinstall.shSSH/VNCプラン

セキュリティ運用イメージ

1. 制御面は「SQLite が増えた」ではない

(1)ポリシーと速度:高リスク書き込みを既定で止めたいプロダクトと、CI の常時グリーンは衝突します。カテゴリが文書化されていないと状態機械が黙って停止します。(2)ClawHub:fail-closed は「常に最新スキル」と両立しません。CLI で入っても実行時にポリシーで拒否される二段階失敗が起きます。(3)Gateway 認証:trusted proxy・混在トークン・トリガ面縮小のあと、openclaw.json と環境変数の二重真実が典型です。(4)リモート Mac:SSH シェルで見る openclaw logs と、launchd が子プロセスへ渡した値が一致しないことがあります。

2. 症状マトリクス(JSON を触る前に読む)

シグナル仮説最初の手
承認 pending が進まないセマンティックカテゴリ未ホワイトリストカテゴリ diff を吐き出し、読み取り専用 openclaw doctor
unsafe / blocked installサプライチェーンの digest 不一致allowlist と釘付けを照合;本番で force-unsafe をデフォルト化しない
401 / device auth認証 v2 とトークン漂移Docker 記事とアップグレード記事に沿って env と JSON を収斂
チャネルは生きているが子タスクが無言トリガ縮小後のルーティング誤りopenclaw channels probe の後、時間窓で gateway / channel / tool のログを分離

3. 五手順:安全なロールアウト

  1. スナップショット + doctor~/.openclaw と workspace を退避し、読み取りのみで基線を残す。
  2. OPENCLAW_* の単一真実:launchd plist・Compose env・shell profile を棚卸しし、重複 export を削除。
  3. 承認表の分割:ディスク書き込み・シェル実行・設定変更を分類し、変更ごとにチケット化。
  4. ステージング・ドリル:最小スキルパックを fail-closed で検証し、ハッシュを CMDB に記録。
  5. レイヤード証跡ゲート:probe が緑になるまでモデルルーティングを変更しない;ログは時間窓で切る。
openclaw doctor -> openclaw channels probe -> time-boxed logs

4. 閾値(レビュー用)

  • gateway.auth.token複数の書き込み経路が残る場合は、単一真実に収斂するまで P0 ブロッカー
  • ポリシー変更後は 24 時間以内に高リスク書き込み演習を行い、ログ抜粋をアーカイブ—「テスト済み」の根拠にする。
  • リモート Mac で OPENCLAW_GATEWAY_PORT が supervision と複数ホップずれる場合は、まず監督ユニットを修正。

5. FAQ

Docker トークンは揃ったのに 401? デバイス認証 v2 とノードトリガ制限をアップグレードガイドに沿って積み上げる。

先に全体承認して後で締める? 隔離された staging のみ。本番は fail-closed のままカテゴリ allowlist で漸進的に開く。

ClawHub を釘付け? はい。digest・タグ・インストールコマンドを同一変更票にし、露出面監査のリズムと揃える。

6. ミニ事例

CI が毎晩最新スキルを入れ、本番 Gateway が開発ノートと workspace を共有していたチームは、夜間に承認が滞留し、朝に silent deny が出ました。対策:スキル導入を staging ジョブへ移しハッシュ固定;承認表をリスク別に分割;OPENCLAW_* は launchd のみから注入し shell の重複を削除。PR ルール:gateway.auth に触れたら Compose env 対照表も更新しないとマージ不可。

7. 締め:Linux VPS・Mac・MACGPU

限界:汎用 Linux VPS は権限モデルとデスクトップ近接チャネルが異なり、ポリシーをコード化しないとスクリプトが速やかに腐ります。リモート Mac:launchd による監督とログの取り回しに馴染みがある。MACGPU:ハード購入前に 24/7 Gateway を試すためのリモート Apple Silicon ノードを低摩擦で借りられる(CTA からプランとヘルプ、ログイン不要で閲覧可)。最終ゲート:アップグレード後 24h 以内に probe と高リスク演習を完了し、request id とポリシーバージョンをログに残す。

社内レビューでは doctor 出力に加え、承認ポリシーの版スキル釘付け一覧OPENCLAW_* を載せた plist 断片channels probe 成功のタイムスタンプを揃えてください。probe なしの「直った」は夜間アップグレードで再発します。同一ホストに書き込み Gateway を二重起動しないこと、ログは gateway / channel / tool の三路に分けて時間窓で相関させることを運用規約に明記すると、インシデント後の説明責任が下がります。ローテーションと圧縮も忘れずに。