Betreiber von OpenClaw auf einem macOS-Gateway in 2026 haben oft Modell-Routing und 429-Drosselung—ein falsch klassifiziertes Tool kann trotzdem Repos löschen, in Kunden-Slack posten oder shell mit Produktionsgeheimnissen ausführen. Tool-Ausführungsfreigaben und Human-in-the-Loop-Gates pausieren destructive Aufrufe bis ein Mensch explizit zustimmt, mit Timeouts und Audit-Trails. Dieses Tutorial zeigt Tool-Klassifikation in ~/.openclaw/openclaw.json und Holds auf einem Staging-Port vor LaunchAgent-Promotion. Kombinieren Sie es mit doctor-Diagnose, JSON- und Umgebungsprofilen, Staging-/Produktionsprofilen, Upstream-Circuit-Breakern und Modell-Failover (nur für Anbieter-Degradation, kein Ersatz für Freigaben).
Sie erhalten ein Bedrohungsmodell, eine Policy-Matrix-Vorlage, Guardrails (120 s max. ausstehende Freigabe, deny-on-timeout, separater Staging-Kanal) und eine Rollout-Checkliste auf einem gemieteten Apple Silicon Mac mini für etwa 16,9 $ pro Tag (MacHTML-Preis).
Warum Ausführungsfreigaben existieren
Sprachmodelle überzeugen gut, übernehmen aber keine Verantwortung. Exponiert das Gateway write, shell oder browser, kann ein halluzinierter Pfad Workspaces löschen, API-Keys aus ~/.openclaw/.env exfiltrieren oder in Kunden-Slack posten. Freigabe-Gates setzen vor irreversiblen Effekten eine menschliche Entscheidung; bei Timeout explizit deny, damit Bots nicht still hängen.
Freigabe ist kein Anti-Automation, sondern gestufte Risikokontrolle: Read-only automatisch, destructive Stufen per Tap in Slack, Telegram oder macOS-UI. Stufen in einer Policy-Matrix dokumentieren, die On-Call um 3 Uhr ohne Quellcode lesen kann.
Bedrohungsmodell für Agent-Tools
Starten Sie bei dem, was Ihr Gateway auf macOS wirklich kann: Pfade des LaunchAgent-Benutzers lesen, in git-Repos schreiben, shell mit geerbten Umgebungsvariablen, Browser mit Cookies. Angriffsflächen: Prompt-Injection per HTML, kompromittierte Webhooks, Produktions-.env in Staging-Chats.
Ordnen Sie jedes Tool der Blast Radius zu: read (Informationsleck), write (Integrität), shell (Host-Kompromittierung), browser (Session-Riding). Reads, die Home-Verzeichnisse listen, erhalten write-Freigabestufe ohne Allow-List.
Policy-Matrix nach Kanal und Tool
| Tool-Klasse | Standard | Hinweise |
|---|---|---|
| read / grep | Auto-Freigabe | Ohne Allow-List neu klassifizieren |
| write / patch | Mensch | Diff-Vorschau im Slack-Thread |
| shell | Immer Freigabe | In Produktion nie auto |
| browser | Freigabe + Domain-Liste | file:// und interne IPs blockieren |
| DM / privat | Strenger als #general | Höhere Sensitivität |
Matrix neben dem Runbook veröffentlichen. Bei „writes auto für Speed“: benannter Owner und Sunset-Datum—sonst erodiert jedes Release das Gate.
openclaw.json-Freigabe-Skelett
Freigabe-Politik in ~/.openclaw/openclaw.json neben Modell-Routing, nicht in git-HTML. Keys in ~/.openclaw/.env mit chmod 600. Struktur trennt Tool-Klassen, Kanal-Overrides und Timeouts.
{
"tools": {
"approval": {
"default": "auto",
"classes": {
"read": "auto",
"write": "human",
"shell": "human",
"browser": "human"
},
"pendingTimeoutMs": 120000,
"onTimeout": "deny"
},
"channels": {
"slack:#ops-alerts": { "write": "auto" },
"slack:#customer-support": { "shell": "deny" }
}
}
}Feldnamen ändern sich mit OpenClaw-Versionen—vor dem Deploy Release Notes diffen. Danach openclaw doctor und pro Klasse einen Hold in Staging auslösen.
Staging ohne Produktionsrisiko
Freigabe-Übungen an einen Staging-Gateway-Port und ein Profil ohne Produktionsgeheimnisse binden. Feste Prompts für shell und write; Freigabe-Karte muss erscheinen und bis zur Zustimmung blockieren. deny- und Timeout-Pfade testen—klare Meldung „nach 120 s abgelehnt“, kein endloses „Denkt nach…“
Übungen mit Staging-/Produktions-LaunchAgent-Profilen abstimmen. Keine destructive Freigaben gegen Kundendatenbanken vom Laptop, der auch Produktions-plists signiert.
doctor-Checks und Audit-Logs
Nach jeder Politik-Änderung openclaw doctor --json am Ticket. Middleware gesund, Webhooks erreichbar, keine pending-Warteschlangen nach Crashes. correlation ids bei approve/deny loggen.
Bei Tool-Registrierungs-Mismatch JSON vor LaunchAgent-Promotion fixen—Freigaben für nicht existierende Tools trainieren Blind-Klicks.
Produktions-Rollout-Checkliste
- Fingerabdrücke von
openclaw.json(ohne Secrets) in git-ignorierten Speicher. - Jedes Tool klassifizieren; Policy-Matrix im Wiki aktualisieren.
- Staging-Holds für write, shell, browser mit Screenshots.
- Menschliche Freigabe in Produktion, deny-on-timeout bei 120 s.
- pending-Tiefe überwachen; Alarm bei > 5 gleichzeitigen Holds.
- Rollback dokumentieren: JSON zurück +
launchctl kickstart -k gui/$(id -u)/ai.openclaw.gateway.
FAQ
Read-only ohne Freigabe?
Ja mit Pfad-Allow-List; breite Verzeichnislisten hochstufen.
Verlangsamt Freigabe Slack?
Pro Turn bündeln; 120 s mit klarem deny.
Test ohne Produktion?
Staging-Profile und synthetische Tool-Aufrufe—keine Produktions-Secrets auf dem Laptop.
Ein Apple Silicon Mac mini über MacHTML hält Freigabe-Übungen auf denselben WebKit-, Keychain- und Node-Builds wie Ihre Führungskräfte—kein Linux-Container als macOS-Ersatz. SSH für Logs, VNC für GUI-Freigaben. Leistung im Leerlauf oft 6–12 W; eine Woche HITL kostet weniger als ein shell-Vorfall, der einen Release-Branch löscht.
Veröffentlichter Preis etwa 16,9 $ pro Tag. Nach der Übung Instanz stoppen; die Policy-Matrix bleibt in den Docs, kein 36-Monats-CapEx für Hardware.
OpenClaw-Tool-Freigabe auf echtem macOS proben
Mieten Sie einen Cloud-Mac-mini, um HITL-Gates, Timeout-Verhalten und doctor-Probes zu prüfen, bevor Sie die Freigabe-Politik in Produktions-LaunchAgents heben.