Choix supply-chain · Épinglage pré-install · Skill Audit · Portes security audit · Runbook en 6 étapes
Vous vous apprêtez à lancer openclaw plugins install ou à activer un nouveau Skill communautaire sur une Gateway de production, avec la crainte de paquets malveillants, de périmètres fichiers trop larges ou d'un état gris « ça tourne mais ce n'est pas sûr ». Depuis avril 2026, OpenClaw clarifie la frontière entre Skill Audit et openclaw security audit, et v2026.4.22+ applique une politique fail-closed en cas de dérive d'intégrité sur plugins épinglés. Cet article s'adresse aux ops et tech leads sur VPS ou Mac distant : matrice bundled / plugin npm / Skill communautaire, épinglage avant installation et runbook de mise en prod en six étapes, puis tableaux de portes d'audit et carte des symptômes. À lire avec la checklist de durcissement production et le guide Docker v2026.4.
OpenClaw sépare l'extension des canaux et des capacités en deux niveaux : les plugins chargés via manifest sur la Gateway, en général via openclaw plugins install ; les Skills sont des paquets d'outils invoqués par l'Agent, souvent avec accès workspace, shell ou réseau. Beaucoup d'incidents 2026 ne viennent pas d'un « mauvais plugin », mais du déploiement en prod de Skills communautaires comme simples exemples de doc, ou de l'équation entre bundled audité et tag npm @latest.
| Source | Usage typique | Exposition | Rollback | En production |
|---|---|---|---|---|
| Plugins bundled officiels | Telegram, Discord, canaux majeurs | Audité avec les releases core | Suit openclaw update | Choix par défaut ; suivre la ligne core |
npm plugins install | WeChat, Lark, scopes externes | Chaîne tiers + répertoires d'état locaux | Version épinglée + sauvegarde volumes | Staging : doctor + audit d'abord |
| Catalogues Skills communautaires | Scripts, navigateur, fichiers en lot | Maximale : FS / exec / réseau | Difficile — sessions peut-être écrites | Skill Audit puis Agents à faible trafic |
Rédiger le ticket de changement : noms de paquets, versions exactes, modifications de plugins.entries.*.enabled, liste des nouveaux Skills.
Comparer au bundled : si le canal officiel couvre le besoin, privilégier bundled pour éviter les conflits de manifest.
Isoler en staging : reproduire l'install complet sur une Gateway de staging ; pas de @latest en prod.
Budget de permissions : préfixes de chemins autorisés et exec oui/non ; au-delà, Skills laissés désactivés.
Découpler le canal : pour les plugins, commencer par plugins list ; ne pas toucher au routage modèle dans le même ticket.
En production, « se charge » n'implique pas « doit être activé » — Skill Audit répond à la seconde question.
Avant tout install, fixez trois paramètres citables sur le ticket. À partir de 2026.4.22, une dérive d'intégrité sur plugin npm épinglé entraîne un fail-closed sur openclaw update, avec la raison dans openclaw update --json — traiter cela comme une fonction de sécurité, pas une mise à jour cassée.
>=2026.3.22 (peer) ; openclaw --version avant install.openclaw plugins install "@scope/pkg@1.2.3" ; pas de @latest nu.gateway restart ; dans les 10 minutes, gateway status et plugins list.openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
Attention : l'erreur « requires compiled runtime output » indique une entrée source — passer au build dist ou enabled false temporaire ; ne pas lancer security audit avec un manifest à demi chargé.
L'accent Skill Audit en v2026.4 consiste à repérer des demandes workspace, shell ou réseau trop larges avant que l'Agent puisse invoquer le Skill. Exécutez le runbook ci-dessous avec l'isolation Dashboard du guide Docker.
Inventorier les Skills : nom et source (catalogue officiel / git interne / zip tiers) ; pas de Skill sans nom en prod.
Lire les capacités du manifest : marquer filesystem, exec, browser, network ; toute classe « accès total » → staging uniquement.
Lancer Skill Audit : auto-contrôle des permissions via Dashboard ou CLI (comme l'assistant d'install).
Essai Agent minimal : workspace en lecture seule, un tour de dialogue ; pas encore de canaux entrants.
Ouvrir les canaux en dernier : Telegram, WeChat, etc. après allowlists et pairing.
Traçabilité : résultat d'audit, versions Skill et Gateway sur le ticket pour rollback sous 30 jours.
| Capacité | Risque | Défaut production |
|---|---|---|
| Lecture/écriture workspace complète | Fuite clés API, clés SSH | Refuser ; sandbox par préfixe |
| exec / shell | RCE supply-chain | Staging seulement ; liste d'approbation en prod |
| Automatisation navigateur | Detournement de session, sonde réseau interne | Listes headless ou isolation Relay |
| Webhooks sortants | Entrée non authentifiée | Allowlist IP + clés d'idempotence ; runbooks webhook |
openclaw security audit analyse la configuration Gateway et l'exposition (DM ouverts, flags debug, droits outils, indices supply-chain) et complète Skill Audit. Ordre recommandé : doctor → security audit --deep → (optionnel) channels status --probe.
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| Outil | Répond à | Auto-correction |
|---|---|---|
| openclaw doctor | Migration, état service, alertes canaux, pairing | --fix borné ; archivage session à confirmer |
| security audit | Exposition, politiques critical, flags | --fix sur items étroits (allowlist, masquage logs) |
| Skill Audit | Un Skill demande-t-il trop ? | Décision humaine actif/inactif |
À partir des outils Gateway 2026.4.14+, config.patch ne peut plus activer les interrupteurs dangereux signalés par l'audit (ex. dangerouslyDisableDeviceAuth). config.insecure_or_dangerous_flags est un bloqueur de release. Les scans profonds avec sonde live se planifient en fenêtre de maintenance.
Note : security audit --fix ne désinstalle pas un Skill malveillant ; rollback via plugins install épinglé et restauration du volume d'état.
Sur un VPS, l'écart entre CLI hôte et répertoires d'état Gateway dans le conteneur produit souvent des faux négatifs sur devices approve ou plugins list. Les nœuds Mac distants conviennent aux Gateways d'équipe avec caches modèle et répertoires plugins durables — un profil proche des workflows créatifs sur matériel Apple.
| Symptôme | Vérifier d'abord | Action typique |
|---|---|---|
| plugins list sans nouveau paquet | Restart, montages volumes | gateway restart ; install en exec Compose |
| audit critical bloque | Flags dangereux, DM ouverts | Désactiver debug ; resserrer allowlists |
| update integrity drift | Champs --json | Réinstaller version épinglée ; ne pas sauter la vérif |
| doctor vs version plugin | Table peer | Monter core ou baisser tag plugin ; jamais un seul côté |
| Disque après activation Skill | Session / cache navigateur | Runbooks seuil disque |
Gardez le plan de contrôle sur 127.0.0.1:18789 et ouvrez l'UI via ssh -L 18789:127.0.0.1:18789 user@vps pour l'audit — n'exposez pas le port admin sur Internet. Pour les logs, restez sur le triptyque canal / Gateway / modèle dans la checklist doctor.
Si votre équipe a besoin de changements plugins traçables, d'un SLA prévisible et d'une Gateway 24/7, les cycles install/rollback sur portable coûtent cher. Pour la prod mêlant CI/CD iOS et Agents OpenClaw persistants, la location cloud Mac Mini VpsMesh est en général le meilleur compromis — nœuds dédiés, disque et bande passante prévisibles pour épingler répertoires plugins et volumes d'état. Tarifs : page tarifs ; accès distant : centre d'aide.
Skill Audit examine ce qu'un Skill demande ; security audit examine la politique et l'exposition globales de la Gateway. Avant mise en prod : les deux, et doctor d'abord. Séquence complète : guide déploiement et audit sécurité.
Commencez par openclaw plugins list et openclaw doctor ; confirmez manifest et artefacts runtime. Sous Docker, vérifiez les montages. Ne changez pas les tags modèle dans le même ticket — voir le guide dépannage runtime.
Lisez les champs de dérive avec openclaw update --json, réinstallez la version épinglée depuis un registry de confiance, puis security audit --deep. Dimensionnement : tarifs et centre d'aide.