Gatewayの露出面 · ホワイトリスト · スキル監査 · ハートビートとモデル段階
インストールは通ったが、OpenClawを「外に約束できる」段階まで持っていきたい小さなチームやプラットフォーム担当者にとって、詰まりどころはしばしば「Gatewayが立ち上がらない」から「Gatewayの待受が広すぎる、チャネルが多すぎる、スキルスクリプトが監査不能、ハートビートがトークンを焼き切る」へと移ります。本稿では本番の視点からトポロジの最小集合と秘密情報の境界、露出面を畳む対照表(待受、リバースプロキシ、TLS)、マルチチャネルを段階投入する六手順、スキルと自動化スクリプトの監査項目、そしてハートビート運用とモデル段階を設定ファイルに落とすときの考え方を整理します。インストールとdoctorの基線はまずインストールとGatewayトラブルシューティングの長文を、プロセス常駐と7×24の言い回しは常駐クラウドデプロイの記事と突き合わせてください。リモート接続の規律はSSHとVNCの引き継ぎ比較と相互に参照できます。
「動く」から「出せる」へ進むとき、議論の単位は機能一覧から責任境界の図に切り替わります。Gatewayプロセスを誰が起こすのか、待受がどのNICに乗るのか、各チャネルアダプタがどの資格情報を使うのか、スキルスクリプトにどのパスへの書き込みを許すのか、監査ログが最終的にどのバケットへ流れるのか。この図がないと、障害は「モデルが遅い」「Telegramが返らない」として見え、根因はホワイトリスト未設定や二つのチャネルが同一サービスアカウントを共有してセッションが混線している、といった形に隠れます。
次の五つはレビューで「口頭では合意したが実装で抜けがち」な穴です。チェック表に書き起こし、インストールとdoctorの基線長文と突き合わせてください。前者はプロセスと設定の解釈を正し、本稿はリリース後の露出面とアイデンティティモデルを正す側面を担います。
Gatewayとダッシュボードの役割が分離されていない:管理UIとメッセージ入口を同じ待受アドレスに載せると、一度の誤設定でデバッグ用の面とWebhookエンドポイントが同時に外に開きます。本番では「社内だけ」「必ずリバースプロキシ経由」の二類型を明示し、それぞれ別々に受け入れ試験をします。
チャネル資格情報の共通化:Slack、Discord、Telegramのトークンを同一環境ブロックや同一秘密ファイルの段落に混在させると、ローテーションのたびに一行だけ更新漏れが出やすくなります。チャネルごとに鍵名、ローテーション担当、スモーク手順を分けてください。
ワークスペースとスキル用サンドボックスの欠如:スキルが書き込めるディレクトリを限定しないと、プロンプト誘導でリポジトリ外の機微なパスに触れるリスクが残ります。許可する読み書きの木を列挙し、ステージングでは読み取り主体のアカウントで一度演習してください。
外向きLLMとツールチェーンにクォータの見え方がない:タスク種別でモデル段階を分けないと、ハートビートと人間の対話が同一キーと同一レート制限を奪い合い、請求と遅延が同時に悪化します。
監査と保持の方針が空欄:規制当局や顧客から「誰が指示したのか」と問われたとき、安定したrequest idとチャネル側のアイデンティティ写像がログに無ければ推測に頼るしかありません。設計段階で保持日数とマスキング規則を決めてください。
ここまでに印を付けたうえで次節の露出面表に進むと、「IPとポートを畳むのか、人とボットのアイデンティティを畳むのか」がはっきりします。
2026年によく見る誤りは、リモート調整の便宜のためにGatewayを0.0.0.0に束ね、別の端末ではダッシュボードのパスワードを起動引数に直書きすることです。スキャナとブルートフォースは内部試行かどうかを区別しません。より堅い筋道は、プロセスはループバックまたは社内インターフェースだけを聞く、統制されたリバースプロキシでTLS終端・レート制限・アクセスログを一括する、ホワイトリストでツール呼び出しを誰に許すかを縛る、という三段です。
次の表は変更チケットにそのまま貼れる本番投入前ゲートです。各行に「担当者と証跡(画面キャプチャまたは設定断片の番号)」を紐づけてください。リモートデスクトップとトンネルの規律はSSHとVNCの引き継ぎ長文も参照し、運用の手癖とエージェント自動化が同じポート語りを奪い合わないようにします。
| 観点 | 推奨する本番の姿 | 典型的な異常サイン | 受け入れアクション |
|---|---|---|---|
| 待受アドレス | 127.0.0.1または社内RFC1918。既定の全NIC公開は避ける | 公網側のスキャンに未知のプローブが載る | ssやlsofで設定と突合。リバースプロキシの許可元と一致させる |
| リバースプロキシ | TLS、HSTS、接続レート、リクエストボディ上限をここで統一 | 大きな添付でNodeプロセスが圧迫される | コールバック経路を負荷試験。タイムアウトとbody制限を確認 |
| 証明書とチェーン | 企業MITM環境では信頼の取り込みを別手順で。自動更新にアラート | 断続的なTLSハンドシェイク失敗 | curlとopensslのs_clientの両方で検証 |
| 管理面の分離 | ダッシュボードはVPNまたはゼロトラストの内側だけ | 社外IPからデバッグ画面が開ける | 未認可ネットワークからの能動プローブが失敗すること |
| ホワイトリストとレート | ユーザーID、ワークスペース、署名トークンなどで層別に権限付与 | 誰でも高コストなツールを叩ける | 偽の送信者で負向きテストを実施 |
安全とは「もう一つパスワードを足す」ことではなく、管理面・消息面・モデル外向きを三枚の重ならない網に分け、それぞれ別々に受け入れることです。
ここで扱うのは「二つ目のチャネルを開いたら一つ目が落ちる」系のオーケストレーション問題であり、インストール段階のdoctorエラーそのものではありません。核となる方針は、アダプタを一つ足すたびに変える設定は一種類に限定することと、ステージングで実際のwebhook流量の短いサンプルを再生して確認することです。開発では緩めでもよいですが、本番ではホワイトリストを締め、トークンの寿命を短くし、ログレベルをdebugからinfoへ下げます。
インストールの基線がまだの場合は、先にインストール排障の長文で単一チャネルを緑にしてから下の六手順へ進んでください。さもないと設定エラーとルーティングエラーが同一ログに混ざります。
チャネル一覧を凍結する:接続するIMとWebhookの名称、担当、想定ピークを列挙し、一覧に無い入口は暫定でも開けない運用にします。
チャネルごとにサービス主体を割り当てる:本番では個人アカウントとトークンを共有しません。ボット用に独立した秘密情報を発行し、秘密管理のフィールド番号まで記録します。
環境別コールバックURL:ステージングと本番でwebhookのホストを分け、誤設定でテスト流量が本番セッションへ流れ込まないようにします。
チャネル単位のスモーク:一つ接続するごとに、本文、添付、スラッシュコマンドの三種のプローブを送り、request idとルーティング遅延を記録します。
同時実行とキュー上限:ピーク時の最大並列セッションと破棄方針を決め、スノーボールでLLMアカウントを潰さないようにします。
ロールバック演習:単一チャネルを切っても他に影響が無いことを確認し、設定の差分をアーカイブして次回変更の基線にします。
export OPENCLAW_GATEWAY_BIND=127.0.0.1 export OPENCLAW_PUBLIC_BASE_URL=https://hooks.example.com export OPENCLAW_CHANNEL_ALLOWLIST=team-alpha,team-beta export OPENCLAW_LOG_LEVEL=info openclaw gateway start
ヒント:例示のキー名はプレースホルダです。実際に使う設定キーへ置き換え、変更後はステージングでチャネルスモークを再実行してから本番ウィンドウへ進めてください。
AgentSkillsとカスタムスクリプトはOpenClawを「会話するボット」から「システムを変えうるオペレータ」へ押し上げますが、同時にサプライチェーンリスクを本番へ直輸入します。監査の目的は全行を読むことではなく、繰り返し通せるゲートを置くことです。メタデータに権限が宣言されているか、外向き通信があるか、ユーザーが見えないところでシェルを起動するか、アップグレード経路が追えるかを機械的に確認します。
次の表は現場のプラットフォーム担当がそのまま印を付けられる最小集合です。印が付けられない項目はステージングへ戻すか、読み取り専用ワークスペースに限定してください。
| 監査対象 | 必須確認 | 不合格のときの扱い |
|---|---|---|
| SKILLメタデータ | 名称、版、出所、宣言ツール、ホワイトリストパス | 自動更新を止め、署名または社内forkを要求 |
| ネットワーク出口 | 第三者APIの有無、ドメインが固定か | 外向きプロキシのACLを付けるか内製ミラーへ寄せる |
| ファイルシステム | 読み書きがワークスペースの木を超えないか | chroot相当の隔離または専用OSユーザー |
| 子プロセス | curlやbash、gitが暗黙に走らないか | 明示宣言とコードレビューを義務化 |
| 秘密情報の扱い | 環境変数参照か、直書きでないか | マージを差し戻し、秘密管理の参照に置換 |
| 更新経路 | パッケージの出所とチェックサムが追えるか | 版を凍結し、社内制品庫のみ許可 |
注意:本番ノードで「コミュニティスキルのワンクリック導入」を監査表なしで使い続けないでください。試作期はよいとしても、外向きSLAを約束する前には必ず受控リリースへ戻します。
本番で多いコスト事故は単価の値上げではなく、重複したハートビートと重複した取得が同一アカウントに積み上がることです。cron、チャネルポーリング、エージェント内部のタイマーが別々に走り、ログ上はどれも「sync」と呼ばれがちです。次の三つは財務と開発の担当が同じ紙面で話すための引用口径です。クラウド請求を置き換えるものではありませんが、「高い気がする」を分解します。
| タスク種別 | 推奨段階 | 発火頻度の目安 | 観測指標 |
|---|---|---|---|
| チャネル健全性プローブ | 軽量モデルまたはHTTPのみの検査 | 分未満は承認制 | 失敗率とP95遅延 |
| 定時サマリ | 中程度コンテキストのモデル | 事業日の締めに合わせる | 出力長と再試行回数 |
| 対話型チャット | 品質重視の主モデル | 同時セッション上限で縛る | セッションあたりのトークン曲線 |
| ツール密集 | 高推論または長コンテキスト | ホワイトリストユーザーに紐づける | ツール呼び出し回数の分布 |
これらを変更管理とオンコール手順に落とすとき、常駐ノードの安定性が前提になります。ノートのスリープとOS更新はハートビートのリズムを壊し、請求とアラートを同時に歪めます。プロセスガーディアン、ポート、ログの言い回しの詳細はOpenClaw常駐クラウドデプロイを参照してください。算力とリースの判断は料金ページと注文ページを開き、接続手順の確認はヘルプセンターへ寄せると迷いが減ります。
安全上の注意:モデル段階の変更はチャット通知だけに頼らず、チケットを切って設定差分を残してください。「夜間に誰かが段階だけ変えたが誰も知らない」状態を避けます。
個人端末、共有オフィス回線、仮借りのマシンに依存するより、専有でリージョンを選べ、ネットワーク経路が読めるクラウドMacノードの方が、Gateway・チャネル・スキル監査を安定した基線に載せやすいです。スリープ、ダイアログ、複数人セッションは外向きSLAの文書に乗りにくい揺らぎになります。OpenClawと自動化チェーンを本番の受け入れ基準に組み込みつつ露出面とトークンコストを抑えたいチームにとって、VpsMeshのMac Miniクラウドレンタルは多くの場合により適した選択です。Apple Siliconネイティブ、24時間365日オンライン、柔軟なリース期間により、機械の状態よりもホワイトリスト、ハートビート、モデル段階へ集中できます。
全インターフェース待受は管理面とメッセージ入口を広いスキャン面に晒します。まずループバックまたは社内側に寄せ、リバースプロキシとTLSを組み、ホワイトリストで呼び出し元を縛ってください。リモート接続の規律はSSHとVNCの引き継ぎ長文も参照できます。
先にアイデンティティと鍵のモデルを揃えます。チャネルごとに独立したトークン、ローテーション担当、監査フィールドを一致させてからルーティングを議論してください。インストールの基線はインストール排障の長文を先に読みます。