페일오버 모델도 같은 도구 정의가 필요한가요?

예—부 모델은 동일 JSON 도구 스키마를 받아야 하며, 스테이징에서 각 프로바이더의 도구 호출을 테스트하세요.

페일오버가 429를 자동 해결하나요?

부 프로바이더에 독립 쿼터가 있을 때만 도움이 됩니다. 게이트웨이 retry-after 예산과 함께 쓰세요.

모델 변경 후 doctor는 얼마나 자주?

openclaw.json 라우팅을 편집할 때마다, LaunchAgent plist를 프로덕션에 올리기 전에 실행합니다.

OpenClaw 도구 실행 승인·휴먼 인 더 루프 macOS 2026

2026년 macOS OpenClaw에서 모델 라우팅과 429 제어를 해도, 잘못 분류된 도구 하나로 저장소 삭제·고객 Slack 게시·프로덕션 시크릿으로 shell 실행이 가능합니다. 도구 실행 승인과 휴먼 인 더 루프(HITL) 게이트는 비가역 부작용 전에 파괴적 호출을 멈추고, 사람의 명시적 허용·타임아웃 거부·감사 로그를 둡니다. ~/.openclaw/openclaw.json에서 도구를 분류하고 승인 정책을 쓰며, LaunchAgent 승격 전 스테이징 포트에서 “보류—승인—거부”를 연습하는 방법을 다룹니다. doctor 진단, JSON·환경 프로파일, 스테이징/프로덕션 프로파일, 업스트림 서킷 브레이커, 모델 페일오버(프로바이더 저하용, 승인 대체 아님)를 함께 보세요.

위협 모델, 정책 매트릭스 템플릿, 수치 가드레일(승인 대기 최대 120초, 타임아웃 시 deny, 독립 스테이징 채널), 하루 약 $16.9 Apple Silicon Mac mini 롤아웃 체크리스트를 얻습니다.

실행 승인이 필요한 이유

대규모 언어 모델은 설득에 강하지만 책임은 지지 않습니다. 게이트웨이가 write·shell·browser를 공개하면 환각 경로 하나로 워크스페이스 삭제, ~/.openclaw/.env 유출, 고객 Slack 게시가 가능합니다. 승인 게이트는 비가역 부작용 전에 사람의 판단을 넣고, 타임아웃 시 명시적 deny로 봇이 조용히 멈추지 않게 합니다.

승인은 반자동화가 아니라 계층적 리스크 관리입니다. 읽기 전용은 자동, 파괴적 계층은 Slack·Telegram·macOS UI에서 탭 승인. 계층을 정책 매트릭스에 적어 새벽 3시 온콜이 소스 없이 읽게 하세요.

에이전트 도구 위협 모델

LaunchAgent 사용자가 macOS에서 실제로 할 수 있는 일부터 시작합니다: 경로 읽기, git 쓰기, 환경 변수 shell, Cookie 브라우저. 공격면에는 HTML 붙여넣기 주입, 침해된 Webhook, 프로덕션 .env 스테이징 붙여넣기가 있습니다.

도구별 폭발 반경: read(정보 유출), write(무결성), shell(호스트), browser(세션). 홈 목록 read는 경로 허용 목록 없으면 write급 승인으로.

채널·도구 정책 매트릭스

도구 유형	기본	메모
read / grep	자동 승인	허용 목록 없으면 사람 심사
write / patch	사람 승인	Slack 스레드 diff 미리보기
shell	항상 승인	프로덕션 자동 승인 금지
browser	승인+도메인 허용	file://·내부 IP 차단
DM/비공개	#general보다 엄격	고감도 가정

매트릭스를 런북 옆에 게시. write 자동화 요구 시 담당자·만료일을 필수로.

openclaw.json 승인 골격

승인 정책은 ~/.openclaw/openclaw.json, 키는 ~/.openclaw/.env(chmod 600).

{
  "tools": {
    "approval": {
      "default": "auto",
      "classes": {
        "read": "auto",
        "write": "human",
        "shell": "human",
        "browser": "human"
      },
      "pendingTimeoutMs": 120000,
      "onTimeout": "deny"
    },
    "channels": {
      "slack:#ops-alerts": { "write": "auto" },
      "slack:#customer-support": { "shell": "deny" }
    }
  }
}

필드명은 버전별 변경—배포 전 릴리스 노트 diff. openclaw doctor 후 스테이징에서 클래스별 보류 1회.

프로덕션 위험 없는 스테이징

승인 연습은 스테이징 게이트웨이 포트에 묶고 프로덕션 시크릿은 로드하지 않습니다. shell/write 고정 프롬프트로 승인 카드·미실행을 확인하고 거부·타임아웃도 봅니다.

staging/프로덕션 LaunchAgent와 함께. 프로덕션 plist 노트북에서 고객 DB 파괴 승인 금지.

doctor·감사 로그

승인 정책 변경마다 openclaw doctor --json을 티켓에. 승인 미들웨어·Webhook·pending 잔여를 확인. 승인/거부에 correlation id.

도구 등록 불일치면 LaunchAgent 전 JSON 수정—없는 도구 승인은 맹승인을 키웁니다.

프로덕션 롤아웃

openclaw.json 지문(비밀 제외)을 git 무시로.
등록 도구 분류·매트릭스 wiki 갱신.
스테이징 write/shell/browser 보류 스크린샷.
프로덕션 사람 승인, 120초 deny.
pending > 5 동시 시 알림.
롤백: JSON + launchctl kickstart -k gui/$(id -u)/ai.openclaw.gateway.

FAQ

읽기 전용은 승인 생략?

경로 허용 목록 있으면 가능. 넓은 목록은 승인급.

승인이 Slack을 느리게?

턴별 묶기, 120초 명확 deny.

프로덕션 없이 테스트?

스테이징·합성 도구 호출만.

MacHTML Apple Silicon Mac mini는 경영진과 동일 WebKit·Keychain·Node로 승인 연습—Linux 근사 아님. SSH 로그, GUI 승인은 VNC. 유휴 6–12W, 1주 HITL은 shell 오삭제 1건보다 저렴한 경우가 많습니다.

하루 약 $16.9. 연습 후 인스턴스 중지, 정책 매트릭스는 문서에 남고 36개월 CapEx는 쌓이지 않습니다.

실제 macOS에서 OpenClaw 도구 승인 리허설

프로덕션 LaunchAgent 승격 전 클라우드 Mac mini에서 HITL·타임아웃 deny·doctor를 검증하세요.

클라우드 Mac 대여 SSH·VNC 설정