Разрешенные инструменты OpenClaw и списки разрешенных командных префиксов 2026: Shared Cloud Mac mini

Когда три группы продуктов используют один шлюз OpenClaw наМак мини, первый инцидент никогда не является «качеством модели» — это агент, обнаружившийcurlможет POST секреты илиrmживет в том же каталоге, что иgit. В 2026 году пары зрелых командallowed-tools(явные имена инструментов, которые может вызывать среда выполнения) ссписки разрешенных командных префиксов(только команды оболочки, пути argv[0] которых начинаются с утвержденных префиксов). Эта статья представляет собой практическое руководство для инженеров платформ, которым необходимо внедрить эти элементы управления, не нарушая существующие рабочие процессы. Перекрестная проверка изменений политики сшлюзовая врачебная диагностикаи сохраняйте предсказуемость расходов с помощью ручекбюджеты токенов и регулирование инструментов— разрешенные списки предотвращают несчастные случаи; дроссели останавливают неконтролируемую стоимость.

Вы получите матрицу сравнения, конкретные примеры префиксов, номера развертываний, прошедших проверку безопасности, специальные инструменты для macOS и часто задаваемые вопросы, предназначенные для операторов, а не для исследователей.

Модель угроз на общем шлюзе

Предположим, что выходные данные модели скомпрометированы: задача помощника — максимизировать полезность, а не соблюдать схему вашей внутренней сети. Любой инструмент, который может открывать исходящий TLS, изменять произвольные файлы или создавать вложенные оболочки, становится примитивом бокового перемещения. На кремниевых хостах Apple также предположим, чтоПодсказки TCCпоявится, когда инструмент впервые коснется камеры, микрофона или полного доступа к диску — пользователи нажимают «Разрешить» быстрее, чем читают идентификаторы пакетов.

Прежде чем выбирать инструменты, определите количественный радиус взрыва: оцените каждую интеграцию по шкале от 1 до 5, где 5 означает «может получить личную информацию клиента без дополнительных подсказок». Все, что имеет оценку 4+, подлежит второму этапу утверждения человеком, а не общему разрешенному списку.

Документируйте, какие каналы соответствуют каким зонам доверия. Потоки Slack от клиентов никогда не должны использовать тот же профиль инструмента, что и внутренняя отладка персонала.

Ежеквартально для Red-team с пакетом сценариев, который воспроизводит исторические стенограммы, содержащие пограничные фрагменты оболочки; если больше, чем2%стенограмм внезапно терпят неудачу после изменения политики, вы слишком агрессивно ужесточали за один раз.

Храните неизменяемый приемник журналов вне хоста, чтобы скомпрометированный шлюз не мог обрезать доказательства — типичными являются S3 или GCS с блокировкой объектов.

Список разрешений, список запретов и гибрид

Pattern	Нагрузка на оператора	Положение безопасности	Лучше всего подходит
Explicit allowed-tools	High	Строгий запрет по умолчанию	Общие шлюзы Mac mini
Список запрещенных регулярных выражений	Low	Слабый — пропускает новые глаголы.	Только персональные ноутбуки для разработчиков
Гибрид (разрешить инструменты + префикс оболочки)	Medium	Сильный в аудитах	Большинство производственных парков в 2026 г.

Гибриды выигрывают, потому что некоторые поставщики поставляют пятьдесят микроинструментов; перечисление каждого имени становится спагетти конфигурации. Вместо этого разрешите имя инструмента оркестрации, но ограничьте выполнение оболочки префиксами на уровне каталога, чтобы/opt/homebrew/binне может молча использовать псевдонимcurlесли вы явно не разрешите этот двоичный путь.

Авторские разрешенные инструменты и префиксы

Начните с замороженного манифеста, зарегистрированного в Git, а не с живого обнаружения в рабочей среде, иначе вы случайно благословите все, что агент попробовал в прошлый вторник. Минимальный эскиз YAML (имена полей различаются в зависимости от дистрибутива) выглядит так:

gateway:
  allowed_tools:
    - read_file
    - list_directory
    - http_get
  shell:
    command_prefix_allowlist:
      - /usr/bin/git
      - /usr/bin/xcodebuild
      - /opt/homebrew/bin/node
      - /Users/build/ci-scripts/

Нормализовать пути с помощьюrealpathво время CI, поэтому символические ссылки не могут обходить правила: если/usr/local/bin/gitрешает/Library/Developer/CommandLineTools/usr/bin/git, ваш белый список должен включать разрешенную цель, а не только дружественную символическую ссылку.

Рост списка капитализации: более25отдельные префиксы оболочки обычно сигнализируют о разрастании — выполните рефакторинг в сценарии-оболочки внутри одного проверяемого каталога вместо внесения в белый список каждого нажатия Homebrew.

Версия манифеста с тегами semver; прикрепите тег к каждой строке журнала шлюза, чтобы специалисты по реагированию на инциденты знали, какая политика интерпретировала отклоненную команду.

Если требуется автоматизация браузера, изолируйте его в специальном профиле инструмента, чтобы в одном диалоге не были включены инструменты записи файловой системы.

Частота выкатывания и разбитие стекла

Выпускайте в три этапа: на первой неделе включается режим только ведения журнала, в котором команды блокировались бы; вторая неделя посвящена постановке; третья неделя применяется в производстве в рабочее время с псевдонимом пейджера. Ожидать5–15%исторических расшифровок не проходят первый этап принудительного применения — большинство неудач являются неопасными различиями путей, а не атаками.

Поддерживать15-minuteПроцедура разбивания стекла: одобрение двух человек, временное расширение, записанное в билете, автоматический таймер возврата. Разбивание стекла без таймеров – вот как «временное» становится постоянным.

Сообщать числовые бюджеты: не болееthreeдобавление префиксов за спринт, если это не связано с CVE или контрактом с клиентом.

Обучите поддержку захвату точного фрагмента stderr — двусмысленные сообщения «команда заблокирована» тратят часы на то, чтобы разделить пополам, запущен ли уровень оболочки или оркестровки.

После каждого производственного затягивания запускайтеdoctorмедианная задержка зондов и снимков; регрессии выше120 мсчасто означает, что пути проверки DNS или кода кода изменились при перемещении двоичных файлов.

macOS PATH, SIP и многопользовательские хосты

Агенты запуска наследуют другой PATH, чем интерактивные оболочки SSH. Агенты, которые «работали в tmux», могут не работать в списках разрешенных, поскольку argv[0] разрешается по-другому, когда родительскийlaunchd. Исправьте это, указав явный PATH в списке и ссылаясь на абсолютные двоичные файлы в политиках.

Защита целостности системы означает, что некоторые двоичные файлы невозможно заменить, даже если агент попытается (хорошо), но это не мешает пользователям устанавливать альтернативные копии под~/bin. Запретить каталоги, доступные для записи пользователем, в списках префиксов, если только эти каталоги не принадлежат пользователю root и не имеют chmod 755.

На общих мини-дисках разделяйте рабочие области для каждого клиента с отдельными учетными записями Unix или, как минимум, с отдельными томами; списки разрешений не заменяют разрешения файловой системы.

Штормы форков все еще случаются, когда агенты распараллеливают инструменты оболочки; объединить списки разрешенных с ограничениями параллелизма, описанными в разделеруководство по дросселированию.

Если вам не хватает запасного оборудования, арендуйте облакоМак минидля зеркалирования производства: хосты MacHTML Apple Silicon обычно доступны рядом с16,9 долларов США/деньс SSH для редактирования списков и VNC для воспроизведения потоков согласия графического интерфейса — дешевле, чем приостанавливать выпуск отчетов о доходах.

Телеметрия, подтверждающая соответствие

Счетчики экспорта: количество отклоненных попыток инструмента в час, количество запрещенных префиксов оболочки в час, версия белого списка и сборка шлюза. Рецензенты безопасности запрашивают причины отказа, сгруппированные по идентификатору правила, а не по необработанным строкам argv (которые могут содержать секреты).

Оповещение о резком росте отказов3×выше семидневного базового показателя — часто при развертывании двоичные файлы перемещаются без обновления префиксов.

Сохраняйте структурированные события аудита в течение как минимум90 дней; более короткие окна пропускают медленное злоупотребление.

Показатель успешности законных задач на информационной панели наряду с количеством отказов, поэтому продукт не оптимизирует показатели безопасности, молча снижая пропускную способность.

Ежеквартально, образец50запрещать события вручную; автоматическая классификация по-прежнему неправильно маркирует сценарии-оболочки в многоязычных репозиториях.

Наконец, привяжите аннотации Grafana к слияниям Git, касающимся манифеста, чтобы дежурные инженеры могли перейти от диаграммы всплесков непосредственно к коммиту, который переместил двоичный путь.

Сохраните хэш манифеста в шлюзе./healthzполезная нагрузка, поэтому балансировщики нагрузки и синтетические зонды фактически обнаруживают устаревшие конфигурации задолго до того, как это сделает пользовательский трафик.

FAQ

Заменяют ли белые списки средства контроля выхода из сети?

Нет, совместите и то, и другое. Разрешенныйhttp_getИнструмент по-прежнему может достигать внутренних конечных точек метаданных, если в вашем VPC отсутствуют правила исходящего трафика.

Как часто следует менять префиксы?

Не более одного раза за спринт для производственных шлюзов, если только вы не исправляете инцидент.

Могу ли я использовать одну политику для разработчиков и продуктов?

Только если разработчик не может получить доступ к производственным данным; в противном случае сохраняйте отдельные манифесты, чтобы избежать дрейфа «работает на моем ноутбуке».

Apple Silicon Mac miniАппаратное обеспечение остается наиболее верным местом для проверки усиления защиты OpenClaw: реальные запросы TCC, планирование LaunchAgent и пути цепочки инструментов Xcode соответствуют ожиданиям аудиторов безопасности.MacHTMLпредоставляет арендованные облачные Mac mini с SSH/VNC, чтобы вы могли репетировать развертывание разрешенных списков, медицинские проверки и регулирование на изолированных хостах — разгоняйтесь для спринта по усилению защиты, проверяйте элементы управления, а затем выводите их из эксплуатации, когда зеленый.