Should I use deny lists instead of allow lists?

Deny lists fail open when new tools ship. For shared gateways, default deny with explicit allowed-tools is the only pattern auditors consistently accept.

How granular should command-prefix rules be?

Prefer directory-scoped prefixes such as /usr/bin/git and project roots; avoid bare /usr/bin because it hides dozens of privileged utilities.

Why validate on a physical Mac mini?

macOS resolves PATH, SIP, and TCC prompts differently than Linux CI. A rented Apple Silicon mini reproduces the same fork and sandbox timing as production.

OpenClaw 허용 도구 및 명령 접두사 허용 목록 2026: 공유 클라우드 Mac mini

세 개의 제품 팀이 하나의 OpenClaw 게이트웨이를 공유하는 경우맥 미니, 첫 번째 사건은 결코 "모델 품질"이 아닙니다.curl비밀을 POST할 수 있거나rm같은 디렉토리에 산다git. 2026년에는 성숙한 팀이 짝을 이루게 됩니다.allowed-tools(런타임이 호출할 수 있는 명시적인 도구 이름)명령 접두사 허용 목록(argv[0] 경로가 승인된 접두어로 시작하는 쉘 명령만 해당) 이 문서는 기존 워크플로를 방해하지 않고 이러한 컨트롤을 제공해야 하는 플랫폼 엔지니어를 위한 현장 가이드입니다. 정책 변경 사항을 교차 확인하세요.게이트웨이 닥터 진단버튼을 사용하여 지출을 예측 가능하게 유지하세요.토큰 예산 및 도구 제한—허용 목록은 사고를 중지합니다. 스로틀은 비용 폭주를 막습니다.

비교 매트릭스, 구체적인 접두사 예, 보안 검토를 통과한 롤아웃 번호, macOS 관련 풋건, 연구자가 아닌 운영자를 대상으로 한 FAQ 등을 얻을 수 있습니다.

공유 게이트웨이의 위협 모델

손상된 모델 출력을 가정합니다. 보조자의 임무는 내부 네트워크 다이어그램을 존중하는 것이 아니라 유용성을 극대화하는 것입니다. 아웃바운드 TLS를 열거나, 임의 파일을 변경하거나, 중첩된 셸을 생성할 수 있는 모든 도구는 측면 이동 기본 요소가 됩니다. Apple 실리콘 호스트에서는 다음도 가정합니다.TCC 프롬프트도구가 카메라, 마이크 또는 전체 디스크 액세스를 처음 터치할 때 나타납니다. 사용자는 번들 ID를 읽는 것보다 더 빠르게 "허용"을 클릭합니다.

도구를 선택하기 전에 폭발 반경을 정량화합니다. 각 통합의 순위를 1~5 등급으로 지정합니다. 여기서 5는 "추가 메시지 없이 고객 PII를 유출할 수 있음"을 의미합니다. 4점 이상의 점수는 일반 허용 목록이 아닌 두 번째 사람 승인 단계 뒤에 속합니다.

어떤 채널이 어떤 신뢰 영역에 매핑되는지 문서화합니다. 고객의 Slack 스레드는 내부 직원 디버깅과 동일한 도구 프로필을 공유해서는 안 됩니다.

경계선 쉘 조각이 포함된 과거 기록을 재생하는 스크립트 팩을 갖춘 분기별 레드팀 그 이상이라면2%정책 충돌 후 갑자기 성적표가 실패하여 한 번에 너무 공격적으로 긴축을 했습니다.

손상된 게이트웨이가 증거를 자를 수 없도록 변경 불가능한 로그 싱크를 호스트 외부에 유지합니다. 객체 잠금이 있는 S3 또는 GCS가 일반적입니다.

허용 목록, 거부 목록, 하이브리드

Pattern	운영자 부담	보안 태세	최적의 핏
Explicit `allowed-tools`	High	강력한 기본 거부	공유 Mac mini 게이트웨이
정규식 거부 목록	Low	약함 - 새로운 동사를 놓친다	개인용 개발 노트북만 해당
하이브리드(도구 + 셸 접두사 허용)	Medium	감사에 강력함	2026년 대부분의 생산 차량

일부 공급업체가 50개의 마이크로 도구를 출시하기 때문에 하이브리드가 승리합니다. 각 이름을 나열하면 구성 스파게티가 됩니다. 대신 오케스트레이션 도구 이름을 허용하되 디렉터리 범위 접두사를 사용하여 셸 실행을 제한하세요./opt/homebrew/bin자동으로 별칭을 지정할 수 없습니다.curl해당 바이너리 경로를 명시적으로 허용하지 않는 한.

허용 도구 및 접두사 작성

Git에 체크인된 고정된 매니페스트에서 시작하세요. 프로덕션에서 실시간 검색이 아닌, 지난 화요일에 에이전트가 시도한 모든 것이 실수로 축복을 받게 될 것입니다. 최소 YAML 스케치(필드 이름은 배포판에 따라 다름)는 다음과 같습니다.

gateway:
  allowed_tools:
    - read_file
    - list_directory
    - http_get
  shell:
    command_prefix_allowlist:
      - /usr/bin/git
      - /usr/bin/xcodebuild
      - /opt/homebrew/bin/node
      - /Users/build/ci-scripts/

다음을 사용하여 경로 정규화realpathCI 중에 심볼릭 링크가 규칙을 우회할 수 없도록 합니다./usr/local/bin/git결심하다/Library/Developer/CommandLineTools/usr/bin/git, 허용 목록에는 친숙한 심볼릭 링크뿐만 아니라 해결된 대상도 포함되어야 합니다.

한도 목록 증가: 이상25고유한 셸 접두사는 일반적으로 모든 홈브루 탭을 화이트리스트에 추가하는 대신 하나의 감사 디렉터리 내 래퍼 스크립트로 리팩토링하여 확산을 신호합니다.

semver 태그를 사용하여 매니페스트 버전을 지정합니다. 사고 대응자가 어떤 정책이 거부된 명령을 해석했는지 알 수 있도록 각 게이트웨이 로그 줄에 태그를 첨부하세요.

브라우저 자동화가 필요한 경우 동일한 대화에서 파일 시스템 쓰기 도구를 활성화하지 않고 전용 도구 프로필로 격리합니다.

롤아웃 케이던스 및 Break Glass

세 가지 단계로 출시: 1주차에는 명령을 차단하는 로깅 전용 모드가 활성화됩니다. 2주차에는 준비가 시행됩니다. 3주차에는 호출기 별칭을 사용하여 업무 시간 동안 프로덕션에 적용됩니다. 예상하다5~15%대부분의 실패는 공격이 아닌 양성 경로 차이로 인해 발생합니다.

유지하다15-minute브레이크 글래스 절차: 2인 승인, 티켓에 임시 확대 기록, 자동 복귀 타이머. 타이머가 없는 유리 깨짐은 "일시적"이 영구적이 되는 방식입니다.

수치적 예산 전달: 최대threeCVE 또는 고객 계약에 연결되지 않은 경우 스프린트당 접두사 추가.

정확한 stderr 스니펫을 캡처하기 위한 교육 지원 - 모호한 "명령 차단" 메시지는 셸 또는 오케스트레이션 레이어가 실행되었는지 여부를 양분하는 데 시간을 낭비합니다.

각 생산이 조여진 후 실행하십시오.doctor프로브 및 스냅샷 중앙값 대기 시간; 위의 회귀120ms이는 종종 바이너리가 이동될 때 DNS 또는 코드 서명 확인 경로가 변경되었음을 의미합니다.

macOS PATH, SIP 및 다중 사용자 호스트

LaunchAgents는 대화형 SSH 셸과 다른 PATH를 상속합니다. "tmux에서 작동"하는 에이전트는 상위가 있을 때 argv[0]가 다르게 확인되므로 허용 목록에서 실패할 수 있습니다.launchd. plist에서 명시적인 PATH를 설정하고 정책에서 절대 바이너리를 참조하여 문제를 해결하세요.

시스템 무결성 보호는 에이전트가 시도하더라도 일부 바이너리를 교체할 수 없음을 의미하지만 사용자가 대체 복사본을 설치하는 것을 막지는 못합니다.~/bin. 해당 디렉터리가 루트 및 chmod 755를 소유하지 않는 한 접두사 목록에서 사용자 쓰기 가능 디렉터리를 거부합니다.

공유 미니에서는 별도의 Unix 계정 또는 최소한의 별도 볼륨 마운트를 사용하여 고객별로 작업 공간을 분리합니다. 허용 목록은 파일 시스템 권한을 대체하지 않습니다.

에이전트가 셸 도구를 병렬화할 때 여전히 포크 스톰이 발생합니다. 허용 목록과 다음에 설명된 동시성 한도를 결합합니다.조절 지침.

예비 하드웨어가 부족할 경우 클라우드를 임대하세요맥 미니생산 미러링: MacHTML Apple Silicon 호스트는 일반적으로 가까운 곳에서 사용할 수 있습니다.$16.9/일plist 편집을 위한 SSH와 GUI 동의 흐름 재생을 위한 VNC를 사용하여 수익 릴리스를 일시 중지하는 것보다 저렴합니다.

규정 준수를 증명하는 원격 측정

내보내기 카운터: 시간당 거부된 도구 시도, 시간당 거부된 셸 접두사, 허용 목록 버전 및 게이트웨이 빌드. 보안 검토자는 원시 argv 문자열(비밀이 포함될 수 있음)이 아닌 규칙 ID별로 그룹화된 거부 이유를 요청합니다.

거부가 급증하면 알림3×7일 기준 이상 - 접두사를 업데이트하지 않고 이동된 바이너리를 배포하는 경우가 많습니다.

최소한 구조화된 감사 이벤트를 유지합니다.90일; 더 짧은 창에서는 느린 연소 남용을 놓치게 됩니다.

거부 횟수와 함께 합법적인 작업의 대시보드 성공률을 통해 제품이 자동으로 처리량을 죽이면서 보안 측정 항목을 최적화하지 않도록 합니다.

분기별, 샘플50이벤트를 수동으로 거부했습니다. 자동 분류는 여전히 다국어 저장소의 래퍼 스크립트에 라벨을 잘못 지정합니다.

마지막으로 Grafana 주석을 매니페스트를 터치하는 Git 병합에 연결하면 대기 중인 엔지니어가 스파이크 차트에서 바이너리 경로를 이동한 커밋으로 직접 이동할 수 있습니다.

매니페스트 해시를 게이트웨이에 저장합니다./healthz따라서 로드 밸런서와 합성 프로브는 사용자 트래픽이 발생하기 훨씬 전에 오래된 구성을 실제로 감지합니다.

FAQ

허용 목록이 네트워크 송신 제어를 대체합니까?

아니요. 둘 다 결합합니다. 허용된http_getVPC에 송신 규칙이 없는 경우 도구는 여전히 내부 메타데이터 엔드포인트에 도달할 수 있습니다.

접두사는 얼마나 자주 변경되어야 합니까?

인시던트를 패치하는 경우를 제외하고 프로덕션 게이트웨이의 경우 스프린트당 최대 한 번입니다.

개발 및 프로덕션 전반에 걸쳐 하나의 정책을 공유할 수 있나요?

개발자가 프로덕션 데이터에 도달할 수 없는 경우에만 해당됩니다. 그렇지 않으면 "내 노트북에서 작동" 드리프트를 방지하기 위해 별도의 매니페스트를 유지합니다.

애플 실리콘 맥 미니하드웨어는 OpenClaw 강화를 검증하는 가장 충실한 장소로 남아 있습니다. 실제 TCC 프롬프트, LaunchAgent 예약 및 Xcode 툴체인 경로는 보안 감사자가 기대하는 것과 일치합니다.MacHTMLSSH/VNC가 포함된 클라우드 Mac mini 대여를 제공하므로 격리된 호스트에서 허용 목록 롤아웃, 의사 확인 및 제한을 연습할 수 있습니다. 강화 스프린트를 위해 스핀업하고 제어 기능을 입증한 다음 녹색이 되면 서비스를 해제합니다.

전용 클라우드 Mac mini에서 OpenClaw 강화

Apple Silicon 용량을 임대하여 프로덕션 게이트웨이를 건드리기 전에 허용 목록, 의사 진단 및 실제 macOS 동작에 대한 토큰 제한을 테스트하세요.

Mac mini 요금 보기 원격안내 가이드