공급망 선택 · 설치 전 버전 고정 · Skill Audit · security audit 게이트 · 6단계 Runbook
프로덕션 Gateway에서 openclaw plugins install을 실행하거나 새 커뮤니티 Skill을 켜려 하는데, 악성 패키지·과도한 파일 시스템 권한·「돌아가지만 안전하지 않은」회색 상태가 걱정되는 경우를 다룹니다. 2026년 4월 이후 OpenClaw는 Skill Audit과 openclaw security audit 역할을 더 분명히 하고, v2026.4.22+에서는 고정 플러그인 무결성 드리프트에 fail-closed 업데이트 정책을 적용합니다. 본문은 VPS·원격 Mac의 운영·테크 리드 대상으로 bundled / npm 플러그인 / 커뮤니티 Skill 의사결정표, 설치 전 고정과 6단계 출시 Runbook, audit 게이트 대조표와 증상표로 마무리합니다. 프로덕션 강화 체크리스트와 v2026.4 Docker 가이드와 함께 읽으세요.
OpenClaw는 채널·능력 확장을 두 층으로 나눕니다. 플러그인(plugin)은 manifest로 Gateway에 로드되며 보통 openclaw plugins install이 진입점입니다. Skill은 Agent가 호출하는 도구 묶음으로 워크스페이스·셸·네트워크에 닿을 수 있습니다. 2026년 장애의 상당수는 「플러그인 버그」가 아니라 커뮤니티 Skill을 문서 샘플 그대로 프로덕션에 올린 경우이거나 「감사된 bundled」와 「npm 최신 tag」를 같은 리스크로 본 경우입니다.
| 출처 | 전형 시나리오 | 노출면 | 롤백 | 프로덕션 권장 |
|---|---|---|---|---|
| Bundled 공식 플러그인 | Telegram, Discord 등 1급 채널 | core 릴리스와 함께 감사 | openclaw update에 따름 | 기본 1순위; core 버전 라인 추적 |
npm plugins install | WeChat, Lark 등 외부 scope | 3자 배포 체인 + 로컬 상태 디렉터리 | 버전 고정 + 상태 볼륨 백업 필요 | staging에서 doctor + audit 선행 |
| 커뮤니티 Skill 카탈로그 | 자동화 스크립트, 브라우저, 파일 일괄 | 파일시스템/exec/네트워크 최대 | 어려움—session 이미 기록됨 | Skill Audit 후 소량 Agent |
변경 티켓 작성: 신규 패키지명, 정확한 버전, plugins.entries.*.enabled 변경 여부, 추가 Skill 목록을 적습니다.
bundled 대조: 공식이 동일 채널을 제공하면 bundled를 우선해 manifest 충돌을 피합니다.
환경 격리: staging Gateway에서 install 전체를 재현하고, 프로덕션에서 @latest를 시험하지 않습니다.
권한 예산: Skill에 허용할 경로 접두사와 exec 여부를 정하고, 초과분은 비활성 유지합니다.
채널 분리 트러블슈팅: 플러그인 이슈는 plugins list부터; 동일 티켓에서 모델 라우팅을 바꾸지 않습니다.
프로덕션 Gateway에서 「로드됨」은 「켜야 함」이 아닙니다. Skill Audit이 후자를 답합니다.
install 전에 변경 티켓에 인용 가능한 세 매개변수를 고정하세요. 2026.4.22부터 고정 npm 플러그인·훅 패키지에서 무결성 드리프트가 감지되면 openclaw update는 fail-closed되고 openclaw update --json에 중단 사유가 출력됩니다. 이는 「업데이트 고장」이 아니라 보안 기능으로 취급하세요.
>=2026.3.22를 요구하는 경우가 많습니다(peer 기준). install 전 openclaw --version을 실행합니다.openclaw plugins install "@scope/pkg@1.2.3"처럼 정확한 버전; 맨 @latest는 금지합니다.gateway restart를 묶고, 재시작 후 10분 안에 gateway status·plugins list 증적을 남깁니다.openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
주의: TypeScript 컴파일 산출물 누락(requires compiled runtime output)은 소스 엔트리를 가리킵니다. dist 빌드로 바꾸거나 임시 enabled false; 반쯤 로드된 manifest로 security audit을 돌리지 마세요.
v2026.4의 Skill Audit은 Agent가 Skill을 호출하기 전에 과도한 워크스페이스·셸·네트워크 요청을 식별하는 데 초점을 둡니다. 아래 Runbook은 Docker 가이드의 Dashboard 격리 권장과 함께 실행하세요.
Skill 목록화: 활성화할 Skill 이름·출처(공식/자체 git/3자 zip)를 적고, 무명 Skill은 프로덕션에 넣지 않습니다.
manifest 능력 읽기: filesystem, exec, browser, network 네 가지를 표시; 「전체」가 하나라도 있으면 staging으로 내립니다.
Skill Audit 실행: 공식 Dashboard/CLI 경로로 권한 자가 점검을 완료합니다(설치 마법사 Audit과 동일).
최소 Agent 시험: 읽기 전용 워크스페이스·단일 턴 대화만; 대외 채널은 아직 연결하지 않습니다.
채널은 마지막: 채널 허용 목록·pairing 준비 후 Telegram·WeChat 등 인바운드를 연결합니다.
증적 보존: Audit 결과, Skill·Gateway 버전을 티켓에 기록해 30일 내 롤백에 대비합니다.
| 능력 플래그 | 리스크 | 프로덕션 기본 |
|---|---|---|
| 워크스페이스 전체 R/W | API Key, SSH 개인키 유출 | 거부; 경로 접두 샌드박스 |
| exec / shell | 공급망 RCE | staging만; 프로덕션은 승인 목록 |
| 브라우저 자동화 | 세션 탈취, 내부망 프로브 | 헤드리스 Skill 목록 또는 Relay 격리 |
| 아웃바운드 webhook | 미인증 인바운드 | IP 허용 목록 + 멱등 키(webhook Runbook 참고) |
openclaw security audit은 Gateway 설정·노출면(열린 DM 정책, 위험 debug, 도구 권한, 플러그인/Skill 공급망 힌트 등)을 스캔하며 Skill Audit을 보완합니다. 출시 전 권장 순서: doctor → security audit --deep → (선택) channels status --probe입니다.
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| 도구 | 주로 답하는 것 | 자동 수정 |
|---|---|---|
| openclaw doctor | 설정 마이그레이션, 서비스 상태, 채널 경고, pairing | --fix는 제한적; 세션 아카이브는 확인 필요 |
| security audit | 노출면, critical 정책, 위험 flags | --fix는 좁은 항목만(allowlist, 로그 마스킹 등) |
| Skill Audit | 단일 Skill 권한 과다 여부 | 사람이 활성/비활성 결정 |
2026.4.14+ Gateway 도구 계층은 모델이 config.patch로 audit 대상 위험 스위치(예: dangerouslyDisableDeviceAuth)를 켜는 것을 거부합니다. audit이 config.insecure_or_dangerous_flags를 보고하면 릴리스 차단으로 보고 무시하지 마세요. 심층 스캔은 live Gateway 프로브를 추가할 수 있어 유지보수 창에서 실행하는 것이 좋습니다.
참고: security audit --fix는 악성 Skill 제거까지 하지 않습니다. 제거·버전 복구는 고정 plugins install과 상태 볼륨 복구로 처리합니다.
VPS에서 플러그인을 설치할 때 흔한 실패는 「호스트 CLI와 컨테이너 Gateway 상태 디렉터리 불일치」로 devices approve·plugins list가 위음성이 되는 경우입니다. 원격 Mac 노드는 모델 캐시·플러그인 디렉터리를 장기 보관하는 팀 Gateway에 적합합니다.
| 증상 | 먼저 확인 | 흔한 조치 |
|---|---|---|
| plugins list에 신규 패키지 없음 | restart 여부, 볼륨 마운트 | gateway restart; Compose 내부 exec install |
| audit critical로 차단 | 위험 flags, 열린 DM | debug 순차 비활성; allowlist 강화 |
| update integrity drift | --json 드리프트 필드 | 고정 버전 재설치; 검증 스킵 금지 |
| doctor·플러그인 버전 충돌 | peer 의존 표 | core 상향 또는 플러그인 tag 하향; 한쪽만 변경 금지 |
| Skill 활성화 후 디스크 급증 | session/브라우저 캐시 | 디스크 수위 Runbook 참고 |
제어 면은 127.0.0.1:18789 바인딩을 유지하고 ssh -L 18789:127.0.0.1:18789 user@vps로 Control UI에서 Audit하세요. 관리 포트를 공인망에 노출하는 편의는 피합니다. 로그 트러블슈팅은 채널 / Gateway / 모델 3단으로 doctor 체크리스트를 참고하세요.
감사 가능한 플러그인 변경, 예측 가능한 SLA, 7×24 Gateway가 필요한 팀에게 노트북에서 반복 install/rollback은 비용이 큽니다. iOS CI/CD와 OpenClaw 상주 Agent를 병행하는 프로덕션에서는 VpsMesh Mac Mini 클라우드 대여가 대체로 더 나은 선택입니다. 전용 노드와 예측 가능한 디스크·대역으로 플러그인 디렉터리·상태 볼륨 고정이 쉬워집니다. 요금은 요금 페이지, 원격 접속은 고객 센터를 확인하세요.
Skill Audit은 단일 Skill이 요청하는 것을 봅니다. security audit은 Gateway 전체 정책·노출면을 봅니다. 출시 전 둘 다 실행하고 doctor를 먼저 돌리세요. 전체 순서는 배포·보안 감사 장문을 참고하세요.
openclaw plugins list와 openclaw doctor로 manifest·runtime 산출물을 확인하세요. Docker에서는 볼륨 마운트도 대조합니다. 동일 티켓에서 모델 tag를 바꾸지 마세요. 런타임 트러블슈팅을 보세요.