Выбор supply-chain · Фиксация до install · Skill Audit · Ворота security audit · 6-шаговый runbook
Вы собираетесь выполнить openclaw plugins install или включить новый community-Skill на продакшен-Gateway, но опасаетесь вредоносных пакетов, слишком широких прав на ФС или «серого» состояния «работает, но небезопасно». После апреля 2026 OpenClaw чётче разделяет Skill Audit и openclaw security audit, а с v2026.4.22+ при дрейфе целостности зафиксированных плагинов действует политика fail-closed. Статья для ops и tech lead на VPS или удалённом Mac: матрица bundled / npm-плагин / community Skill, фиксация перед установкой и 6-шаговый runbook вывода в прод, затем таблицы audit-ворот и карта симптомов. Читайте вместе с чеклистом продакшен-hardening и гайдом Docker v2026.4.
OpenClaw делит расширение каналов и возможностей на два слоя: плагины грузятся через manifest на Gateway, обычно через openclaw plugins install; Skills — наборы инструментов для Agent с доступом к workspace, shell или сети. Многие инциденты 2026 — не «битый плагин», а выкладка community Skills в прод как примеров из доки или уравнение audited bundled с npm-@latest.
| Источник | Типичный сценарий | Поверхность | Откат | В продакшене |
|---|---|---|---|---|
| Bundled официальные | Telegram, Discord и др. | Аудит с core-релизом | Следует за openclaw update | По умолчанию; линия core |
npm plugins install | WeChat, Lark, внешние scope | Цепочка третьих лиц + локальный state | Нужен pin + бэкап volume | Staging: doctor + audit сначала |
| Каталоги community Skill | Скрипты, браузер, пакетная ФС | Максимум: FS / exec / сеть | Сложно — session уже записан | Skill Audit, затем малый трафик Agent |
Оформить change-тикет: имена пакетов, точные версии, изменения plugins.entries.*.enabled, список новых Skills.
Сверить с bundled: если официальный канал уже покрывает возможность — bundled, чтобы не ловить конфликт manifest.
Изолировать staging: полный install на staging-Gateway; не пробовать @latest в проде.
Бюджет прав: разрешённые префиксы путей и exec да/нет; сверх бюджета Skills остаются выключенными.
Развязать канал: по плагинам начинать с plugins list; маршрутизацию модели не трогать в том же тикете.
На продакшен-Gateway «загружается» не значит «нужно включить» — на второе отвечает Skill Audit.
Перед любым install зафиксируйте на тикете три цитируемых параметра. С 2026.4.22 при дрейфе целостности у зафиксированного npm-плагина/хука openclaw update сработает fail-closed, причина — в openclaw update --json; это функция безопасности, а не «сломанный апдейтер».
>=2026.3.22 (peer); сначала openclaw --version.openclaw plugins install "@scope/pkg@1.2.3"; голый @latest запрещён.gateway restart; в течение 10 минут — gateway status и plugins list.openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
Внимание: ошибка «requires compiled runtime output» означает вход в исходники — перейдите на dist-сборку или временно enabled false; не гоняйте security audit с полузагруженным manifest.
Акцент Skill Audit в v2026.4 — выявить слишком широкие запросы к workspace, shell или сети до вызова Skill агентом. Выполняйте runbook вместе с изоляцией Dashboard из Docker-гайда.
Инвентаризация Skills: имя и источник (официальный каталог / свой git / zip третьих лиц); безымянные Skills в прод не попадают.
Читать возможности manifest: пометить filesystem, exec, browser, network; класс «полный доступ» — только staging.
Запустить Skill Audit: самопроверка прав через Dashboard/CLI (как шаг Audit в мастере установки).
Минимальный Agent: read-only workspace, один ход диалога; входящие каналы пока не подключать.
Каналы в конце: Telegram, WeChat и т.д. после allowlist и pairing.
След в тикете: результат Audit, версии Skill и Gateway для отката в течение 30 дней.
| Флаг возможности | Риск | Дефолт в проде |
|---|---|---|
| Полный R/W workspace | Утечка API-ключей, SSH | Отказ; sandbox по префиксу пути |
| exec / shell | RCE через supply-chain | Только staging; в проде — список одобрения |
| Автоматизация браузера | Захват сессии, зондирование внутренней сети | Headless-списки или изоляция Relay |
| Исходящие webhook | Неаутентифицированный ingress | IP allowlist + ключи идемпотентности |
openclaw security audit сканирует конфигурацию Gateway и экспозицию (открытые DM, опасные debug, права инструментов, подсказки supply-chain) и дополняет Skill Audit. Порядок: doctor → security audit --deep → (опционально) channels status --probe.
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| Инструмент | Отвечает на | Автоисправление |
|---|---|---|
| openclaw doctor | Миграция, состояние сервиса, предупреждения каналов, pairing | --fix ограничен; архив session — с подтверждением |
| security audit | Экспозиция, critical-политики, flags | --fix только узкие пункты (allowlist, маскирование логов) |
| Skill Audit | Не слишком ли широк один Skill | Решение человека: вкл/выкл |
Слой инструментов Gateway 2026.4.14+ блокирует config.patch для опасных переключателей из аудита (например dangerouslyDisableDeviceAuth). config.insecure_or_dangerous_flags — стоп-релиз, не «можно проигнорировать». Deep-скан с live-пробой планируйте в окно обслуживания.
Заметка: security audit --fix не удалит вредоносный Skill; откат — через зафиксированный plugins install и восстановление state-volume.
На VPS типичный сбой — расхождение state между CLI хоста и Gateway в контейнере: devices approve или plugins list дают ложный минус. Удалённые Mac-узлы подходят для team-Gateway с долгоживущими кэшами моделей и каталогами плагинов на уровне Metal/файловой подсистемы.
| Симптом | Сначала проверить | Типичное действие |
|---|---|---|
| plugins list без нового пакета | restart, монтирование volume | gateway restart; install через exec в Compose |
| audit critical блокирует | Опасные flags, открытые DM | Выключить debug; ужесточить allowlist |
| update integrity drift | Поля --json | Переустановить pin; не пропускать верификацию |
| doctor vs версия плагина | Таблица peer | Поднять core или опустить tag плагина; не одну сторону |
| Диск после включения Skill | session / кэш браузера | Runbook по порогу диска |
Плоскость управления держите на 127.0.0.1:18789, Audit через ssh -L 18789:127.0.0.1:18789 user@vps — не выставляйте админ-порт в интернет. Для логов — тройка канал / Gateway / модель, см. чеклист doctor.
Если нужны прослеживаемые изменения плагинов, предсказуемый SLA и Gateway 24/7, циклы install/rollback на ноутбуке дороги. Для прода с iOS CI/CD и постоянными OpenClaw-агентами аренда облачного Mac Mini у VpsMesh обычно выгоднее — выделенные узлы, предсказуемый диск и канал для pin каталогов плагинов и state-volume. Тарифы: цены аренды, удалённый доступ: центр помощи.
Skill Audit смотрит что запрашивает один Skill; security audit — политику и экспозицию всей Gateway. Перед продом — оба, сначала doctor. Полная последовательность: гайд по развёртыванию и security audit.
Начните с openclaw plugins list и openclaw doctor; проверьте manifest и runtime. В Docker — монтирование volume. Не меняйте теги модели в том же тикете — runtime troubleshooting.
Поля дрейфа — в openclaw update --json, переустановите pin из доверенного registry, затем security audit --deep. Размер узла: цены аренды и центр помощи.