サプライチェーン選定 · インストール前のバージョン固定 · Skill Audit · security audit ゲート · 六段階 Runbook
本番 Gateway で openclaw plugins install を実行したり、新しいコミュニティ Skill を有効にしようとしているのに、悪意あるパッケージ、過剰なファイルシステム権限、「動くが安全ではない」グレー状態が心配になる——そんな場面を想定しています。2026年4月以降の OpenClaw では Skill Audit と openclaw security audit の役割分担が明確になり、v2026.4.22+ では固定プラグインの整合性漂移に対して fail-closed の更新方針が取られます。本稿は VPS やリモート Mac 上の運用担当・テックリード向けに、bundled / npm プラグイン / コミュニティ Skill の意思決定表、インストール前のバージョン固定と 六段階本番 Runbook、audit ゲート対照表 と症状表で締めくくります。本番堅牢化チェックリストやv2026.4 Docker ガイドと併読してください。
OpenClaw は「チャネルと能力の拡張」を二層に分けます。プラグイン(plugin) は manifest 経由で Gateway に読み込まれ、入口は多くの場合 openclaw plugins install です。Skill は Agent が呼び出すツールパックで、ワークスペースの読み書き、シェル実行、ネットワークアクセスを伴うことがあります。2026年のインシデントの多くは「プラグインの実装ミス」ではなく、コミュニティ Skill をドキュメントのサンプルのまま本番投入したこと、または「監査済み bundled」と「npm の最新 tag」を同一リスクとして扱ったことが原因です。
| 出所 | 典型シナリオ | 露出面 | ロールバック | 本番の推奨 |
|---|---|---|---|---|
| Bundled 公式プラグイン | Telegram、Discord など主要チャネル | core リリースと同時に監査 | openclaw update に追随 | 既定の第一候補。core バージョンラインに合わせる |
npm plugins install | WeChat、Lark など外部 scope パッケージ | 第三者の公開チェーン + ローカル状態ディレクトリ | バージョン固定 + 状態ボリュームのバックアップが必要 | staging で doctor + audit を先に実行 |
| コミュニティ Skill カタログ | 自動化スクリプト、ブラウザ、ファイル一括処理 | ファイルシステム / exec / ネットワークが最大 | 困難——session が既に書き込まれている可能性 | Skill Audit の後、小流量 Agent で試す |
変更チケットを書く:新規パッケージ名、正確なバージョン、plugins.entries.*.enabled の変更有無、追加 Skill 一覧を列挙します。
bundled と照合する:公式が同能力のチャネルを提供している場合は bundled を優先し、manifest の競合を避けます。
環境を分離する:staging Gateway で install を完全再現し、本番で @latest を試さないでください。
権限予算を決める:Skill に許可するパス接頭辞と exec の可否を決め、予算超過は一律で無効のままにします。
チャネル切り分けで排障する:プラグイン問題は plugins list から始め、同一チケットでモデルルーティングを変えないでください。
本番 Gateway では「読み込める」ことと「有効にすべき」ことは別です。後者は Skill Audit が答えます。
いかなる install の前にも、変更チケットに引用できる三つのパラメータを固定してください。2026.4.22 以降、固定した npm プラグイン/フックパッケージで整合性漂移が検出されると、openclaw update は fail-closed となり、openclaw update --json に中止理由が出力されます。これは「更新が壊れた」のではなく、セキュリティ上の仕様として扱ってください。
>=2026.3.22 を要求することが多いです(各パッケージの peer に従う)。install の前に openclaw --version を実行します。openclaw plugins install "@scope/pkg@1.2.3" のように正確なバージョンを使い、裸の @latest は使いません。gateway restart を同じチケットに束ね、再起動後 10 分以内に gateway status と plugins list で証跡を残します。openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
注意:TypeScript コンパイル成果物がない(requires compiled runtime output)というエラーは、パッケージがソース入口を指していることを示します。正式な dist 版に切り替えるか、一時的に enabled false にし、半端な manifest のまま security audit を走らせないでください。
v2026.4 で強調される Skill Audit は、Agent が Skill を呼べる前に、過剰なワークスペース・シェル・ネットワーク要求を識別することを目的とします。次の Runbook は Docker ガイド の Dashboard 分離の推奨と併せて実行してください。
Skill を棚卸しする:有効化する Skill 名と出所(公式カタログ / 自社 git / 第三者 zip)を列挙し、無名 Skill は本番に入れません。
manifest の能力を読む:filesystem、exec、browser、network の四類をマークし、「全量」が一つでもあれば staging に降格します。
Skill Audit を実行する:公式 Dashboard / CLI の経路で権限の自己点検を完了します(インストールウィザードの Audit 手順と同じです)。
最小 Agent で試す:読み取り専用ワークスペースと単一ターンの会話のみ。対外チャネルはまだ接続しません。
チャネルを最後に開く:チャネル許可リストと pairing が整ってから Telegram / 微信などの入站を接続します。
証跡を残す:Audit 結果、Skill バージョン、Gateway バージョンを変更チケットに記録し、30 日以内のロールバックに備えます。
| 能力フラグ | リスク | 本番の既定 |
|---|---|---|
| ワークスペース全体の読み書き | API Key、SSH 秘密鍵の漏えい | 拒否。パス接頭辞のサンドボックスへ |
| exec / shell | サプライチェーン経由の RCE | staging のみ。本番は承認リストが必要 |
| ブラウザ自動化 | セッション乗っ取り、内網プローブ | ヘッドレス Skill リストまたは Relay 分離と併用 |
| 外向き webhook | 未認証の入站 | IP 許可リスト + 冪等キー(webhook 排障記事参照) |
openclaw security audit がスキャンするのは Gateway 設定と露出面(開いた DM 方針、危険な debug スイッチ、ツール権限、プラグイン/Skill のサプライチェーン示唆など)で、Skill Audit と補完関係にあります。本番投入前の推奨順序は doctor → security audit --deep →(任意)channels status --probe です。
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| ツール | 主に答えること | 自動修復 |
|---|---|---|
| openclaw doctor | 設定移行、サービス状態、チャネル警告、ペアリング異常 | --fix は限定的。セッションアーカイブは要確認 |
| security audit | 露出面、critical 方針、危険 flags | --fix は狭い項目のみ(allowlist、ログマスキングなど) |
| Skill Audit | 単一 Skill の権限が広すぎないか | 人が有効/無効を判断 |
2026.4.14 以降の Gateway ツール層は、モデルが config.patch で audit 対象の危険スイッチ(例:dangerouslyDisableDeviceAuth)を開くことを拒否します。audit が config.insecure_or_dangerous_flags を報告した場合はリリース阻止とみなし、「警告は無視可」と扱わないでください。深度スキャンは live Gateway プローブを加えられるため、メンテナンスウィンドウでの実行を推奨します。
補足:security audit --fix は悪意ある Skill のアンインストールまでは行いません。アンインストールとバージョン戻しは、固定した plugins install と状態ボリュームの復旧で対応します。
VPS でプラグインを入れるとき、よくある失敗は「ホストの CLI とコンテナ内 Gateway の状態ディレクトリが一致しない」ことです。その結果 devices approve や plugins list が偽陰性になります。リモート Mac ノードは、モデルキャッシュとプラグインディレクトリを長期保持するチーム Gateway に向いています。
| 症状 | 先に確認 | よくある対処 |
|---|---|---|
| plugins list に新パッケージがない | restart 済みか、ボリュームマウント | gateway restart。Compose 内で exec して install |
| audit critical でブロック | 危険 flags、開いた DM | debug を順に無効化。allowlist を厳格化 |
| update integrity drift | --json の漂移詳細 | 固定バージョンを再インストール。検証のスキップはしない |
| doctor とプラグインバージョンの不整合 | peer 依存表 | core を上げるかプラグイン tag を下げる。片側だけの更新は避ける |
| Skill 有効化後のディスク急増 | session / ブラウザキャッシュ | ディスク水位の Runbook を参照 |
制御面は 127.0.0.1:18789 へのバインドを維持し、ssh -L 18789:127.0.0.1:18789 user@vps で Control UI を開いて Audit するのが安全です。管理ポートを公網に晒す手抜きは避けてください。ログ排障は引き続きチャネル / Gateway / モデルの三段式で、doctor チェックリストを参照してください。
監査可能なプラグイン変更、予測可能な SLA、7×24 の Gateway が必要なチームにとって、ノート PC 上での install/rollback の繰り返しはコストが高くなりがちです。iOS CI/CD と OpenClaw 常駐 Agent を並行する本番環境では、VpsMesh の Mac Mini クラウドレンタルが多くの場合より適した選択です。専用ノードと予測可能なディスク・帯域により、プラグインディレクトリと状態ボリュームの固定が容易になります。料金は料金ページ、リモート接続はヘルプセンターをご覧ください。
Skill Audit は単一 Skill が何を要求するかを見ます。security audit はGateway 全体の方針と露出面を見ます。本番投入前は両方実行し、先に doctor を走らせてください。手順の全体像はデプロイとセキュリティ監査の長文を参照してください。
まず openclaw plugins list と openclaw doctor で manifest と runtime 成果物を確認します。Docker ではボリュームマウントも照合してください。同一チケットでモデル tag を変えないでください。ランタイム排障の記事を参照してください。