Lieferkettenwahl · Version-Pinning · Skill Audit · security audit-Gates · 6-Schritte-Runbook
Sie wollen auf einem Produktions-Gateway openclaw plugins install ausführen oder einen neuen Community-Skill aktivieren – und fürchten bösartige Pakete, zu weite Dateisystemrechte oder einen Graustatus „läuft, aber unsicher“. Seit April 2026 trennt OpenClaw Skill Audit und openclaw security audit klarer; ab v2026.4.22+ gilt bei Integritätsdrift gepinnter Plugins eine fail-closed-Update-Policy. Der Artikel richtet sich an Ops und Tech Leads auf VPS oder Remote-Mac: Entscheidungsmatrix bundled / npm-Plugin / Community-Skill, Pinning vor der Installation plus 6-Schritte-Go-Live-Runbook, abschließend Audit-Gate-Tabellen und Symptomkarte. Lesen Sie ergänzend die Produktions-Härtungs-Checkliste und den v2026.4-Docker-Leitfaden.
OpenClaw teilt Kanal- und Fähigkeitserweiterungen in zwei Ebenen: Plugins werden per Manifest vom Gateway geladen, typischer Einstieg openclaw plugins install; Skills sind vom Agent aufrufbare Tool-Pakete mit Zugriff auf Workspace, Shell oder Netzwerk. Viele Vorfälle 2026 sind kein „falscher Plugin-Code“, sondern Community-Skills wie Dokumentationsbeispiele in Produktion oder die Gleichsetzung von geprüftem bundled mit npm-@latest.
| Quelle | Typischer Einsatz | Angriffsfläche | Rollback | Produktion |
|---|---|---|---|---|
| Bundled offiziell | Telegram, Discord u. a. | Mit Core-Release geprüft | Folgt openclaw update | Standardwahl; Core-Versionslinie |
npm plugins install | WeChat, Lark, externe Scopes | Drittanbieter-Kette + lokale State-Verzeichnisse | Pinning + State-Volume-Backup | Staging: doctor + audit zuerst |
| Community-Skill-Kataloge | Automation, Browser, Dateibatches | Maximal: FS / exec / Netz | Schwer – Sessions evtl. geschrieben | Skill Audit, dann wenig Traffic |
Change-Ticket schreiben: neue Paketnamen, exakte Versionen, Änderungen an plugins.entries.*.enabled, Liste neuer Skills.
Mit bundled abgleichen: deckt der offizielle Kanal die Fähigkeit ab, bundled bevorzugen – Manifest-Konflikte vermeiden.
Staging isolieren: vollständiges Install auf Staging-Gateway; kein @latest in Produktion.
Berechtigungsbudget: erlaubte Pfad-Präfixe und exec ja/nein; darüber hinaus Skills deaktiviert lassen.
Kanal entkoppeln: bei Plugin-Themen mit plugins list starten; Modell-Routing nicht im selben Ticket.
Auf dem Produktions-Gateway heißt „lädt“ nicht „soll aktiv sein“ – Skill Audit beantwortet Letzteres.
Vor jedem Install drei zitierbare Parameter im Change-Ticket fixieren. Ab 2026.4.22 führt Integritätsdrift bei gepinnten npm-Plugins/Hooks zu fail-closed bei openclaw update; der Abbruchgrund steht in openclaw update --json – als Sicherheitsfeature, nicht als defektes Update.
>=2026.3.22 (peer); zuerst openclaw --version.openclaw plugins install "@scope/pkg@1.2.3"; kein nacktes @latest.gateway restart koppeln; innerhalb 10 Min. gateway status und plugins list dokumentieren.openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
Achtung: Fehler „requires compiled runtime output“ bedeuten Source-Einstieg – dist-Build nutzen oder vorübergehend enabled false; kein security audit mit halb geladenem Manifest.
Skill Audit in v2026.4 erkennt zu weite Workspace-, Shell- oder Netzanforderungen bevor der Agent den Skill aufrufen kann. Runbook gemeinsam mit Dashboard-Isolation im Docker-Leitfaden ausführen.
Skills inventarisieren: Name und Quelle (offiziell / eigenes Git / ZIP); namenlose Skills nicht in Produktion.
Manifest-Fähigkeiten lesen: filesystem, exec, browser, network markieren; „Vollzugriff“ nur Staging.
Skill Audit ausführen: Berechtigungs-Selbstcheck per Dashboard/CLI (wie Install-Assistent).
Minimal-Agent: read-only Workspace, ein Turn; keine eingehenden Kanäle.
Kanäle zuletzt: Telegram, WeChat usw. erst nach Allowlist und Pairing.
Nachweis: Audit-Ergebnis, Skill- und Gateway-Version im Ticket für Rollback innerhalb 30 Tagen.
| Fähigkeitsflag | Risiko | Produktions-Default |
|---|---|---|
| Workspace voll R/W | API-Keys, SSH-Keys | ablehnen; Pfad-Präfix-Sandbox |
| exec / shell | Supply-Chain-RCE | nur Staging; Freigabeliste in Produktion |
| Browser-Automation | Session-Hijack, internes Scannen | Headless-Listen oder Relay-Isolation |
| Ausgehende Webhooks | unauthentifizierter Ingress | IP-Allowlist + Idempotenz; Webhook-Runbooks |
openclaw security audit scannt Gateway-Konfiguration und Angriffsfläche (offene DMs, Debug-Flags, Tool-Rechte, Lieferketten-Hinweise) und ergänzt Skill Audit. Feste Reihenfolge: doctor → security audit --deep → (optional) channels status --probe.
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| Werkzeug | Beantwortet | Auto-Fix |
|---|---|---|
| openclaw doctor | Migration, Dienststatus, Kanalwarnungen, Pairing | --fix begrenzt; Session-Archiv mit Bestätigung |
| security audit | Exposure, critical Policies, Flags | --fix nur Engpässe (Allowlist, Log-Maskierung) |
| Skill Audit | Zu weite Rechte eines Skills | Mensch entscheidet aktiv/inaktiv |
Ab Gateway-Tools 2026.4.14+ blockiert die Schicht config.patch zum Umschalten auditierter Gefahrenflags (z. B. dangerouslyDisableDeviceAuth). Meldung config.insecure_or_dangerous_flags ist Release-Stopper. Deep-Scan mit Live-Probe im Wartungsfenster planen.
Hinweis: security audit --fix deinstalliert keine bösartigen Skills; Rollback über gepinntes plugins install und State-Volume-Wiederherstellung.
Auf dem VPS weichen oft Host-CLI und Gateway-State im Container auseinander – dann wirken devices approve oder plugins list falsch negativ. Remote-Mac-Knoten eignen sich für Team-Gateways mit langfristigen Plugin- und Modell-Caches.
| Symptom | Zuerst prüfen | Typische Maßnahme |
|---|---|---|
| plugins list ohne neues Paket | Restart, Volume-Mounts | gateway restart; Install in Compose exec |
| audit critical blockiert | Gefahr-Flags, offene DMs | Debug aus; Allowlist verschärfen |
| update integrity drift | --json-Felder | gepinnte Version neu; Verifikation nicht überspringen |
| doctor vs. Plugin-Version | Peer-Tabelle | Core hoch oder Plugin-Tag runter; nie nur eine Seite |
| Disk nach Skill-An | Session/Browser-Cache | Disk-Wasserstand-Runbooks |
Steuerfläche auf 127.0.0.1:18789 binden; Audit über ssh -L 18789:127.0.0.1:18789 user@vps – Admin-Port nicht öffentlich exponieren. Logs weiter im Dreiklang Kanal / Gateway / Modell, siehe doctor-Checkliste. Wer Skill-Änderungen nachvollziehbar halten und personenbezogene Daten in Sessions oder Workspace-Exports unter DSGVO-Vorgaben minimieren muss, profitiert von festen Aufbewahrungsfristen und getrennten State-Volumes auf dedizierten Knoten statt von wechselnden Laptop-Installs.
Für auditierbare Plugin-Changes, planbare SLA und 24/7-Gateway sind wiederholte install/rollback-Zyklen auf Laptops oft teurer. Für iOS-CI/CD plus dauerhafte OpenClaw-Agents ist VpsMesh Mac-Mini-Cloud-Miete meist die bessere Wahl – dedizierte Knoten, planbare Disk und Bandbreite zum Pinnen von Plugin-Verzeichnissen und State-Volumes. Preise: Mietpreise, Remote-Zugang: Hilfezentrum.
Skill Audit prüft was ein einzelner Skill verlangt; security audit prüft Gesamt-Gateway-Policy und Exposure. Vor Go-Live beides, zuerst doctor. Vollsequenz: Deployment- und Security-Audit-Leitfaden.
openclaw plugins list und openclaw doctor; Manifest und Runtime-Artefakte bestätigen. Bei Docker Volume-Mounts prüfen. Modell-Tags nicht im selben Ticket – Runtime-Troubleshooting.
Drift-Felder mit openclaw update --json, gepinnte Version aus vertrauenswürdiger Registry neu installieren, dann security audit --deep. Knotenwahl: Mietpreise und Hilfezentrum.