供應鏈选型 · 安裝前钉扎 · Skill Audit · security audit 门禁 · 六步 Runbook
你在生產 Gateway 上准备执行 openclaw plugins install 或启用新的社区 Skill,却担心恶意包、过宽文件系统权限或「装完能跑但不安全」的灰度状态。2026 年 4 月后的 OpenClaw 把 Skill Audit 与 openclaw security audit 分工写得更清楚,且 v2026.4.22+ 对外掛完整性漂移采用 fail-closed 更新策略。本文面向 VPS / 遠端 Mac 上的維運与 Tech Lead:先给 bundled / npm 外掛 / 社区 Skill 决策矩阵,再给安裝前钉扎与 六步上线 Runbook,最后用 audit 门禁對照表 与症状表收口。可与 生產加固清單、v2026.4 Docker 指南 分工阅读。
OpenClaw 把「通道与能力扩展」拆成两层:外掛(plugin) 走 manifest 被 Gateway 加载,常见入口是 openclaw plugins install;Skill 是 Agent 可调用的工具包,可能读写工作区、执行 shell 或访问網路。2026 年工单里大量事故并非「外掛写错」,而是把社区 Skill 当文档示例直接上生產,或未区分「官方 bundled 已审计」与「npm 最新 tag」的风险差。
| 来源 | 典型场景 | 暴露面 | 回滚难度 | 生產建议 |
|---|---|---|---|---|
| Bundled 官方外掛 | Telegram、Discord 等一等通道 | 随 core 发版审计 | 随 openclaw update 回退 | 默认首选;变更跟 core 版本线 |
npm plugins install | 微信、Lark 等外部 scope 包 | 第三方发布链 + 本机状态目录 | 需钉扎版本 + 备份状态卷 | staging 先跑 doctor + audit |
| 社区 Skill 目录 | 自动化脚本、浏览器、文件批处理 | 文件系统 / exec / 網路最高 | 难——可能已写 session | 先 Skill Audit,再小流量 Agent |
写清变更单:列出新外掛包名、精确版本、是否改 plugins.entries.*.enabled 与新增 Skill 列表。
對照 bundled:若官方已提供同能力通道,优先 bundled,避免重复 manifest 冲突。
隔离环境:在 staging Gateway 复现完整 install,禁止直接在生產试「最新 tag」。
权限预算:为 Skill 设定「允许读写的路径前缀」与是否允许 exec,超预算一律拒绝启用。
与通道解耦排障:外掛问题先 plugins list,勿在同一单改模型路由。
生產 Gateway 上,「能加载」不等于「该启用」;Skill Audit 回答的是后者。
在执行任何 install 前,请固定三条可引用参数并写入变更单。2026.4.22 起,对钉扎的 npm 外掛/钩子包若检测到完整性漂移,openclaw update 会 fail-closed,并在 openclaw update --json 中输出中止原因——这应视为安全特性,而非「更新坏了」。
>=2026.3.22(以各包 peer 为准);先 openclaw --version 再 install。openclaw plugins install "@scope/pkg@1.2.3",禁止裸 @latest 上生產。gateway restart 绑定;重启后 10 分钟内完成 gateway status + plugins list 取证。openclaw --version openclaw plugins list openclaw doctor --non-interactive npm view @scope/your-plugin version openclaw update --json
注意:若报错缺少 TypeScript 编译产物(requires compiled runtime output),说明包装了源码入口;应换正式 dist 版本或暂时 enabled false,勿带着半残 manifest 做 security audit。
v2026.4 起强调的 Skill Audit,核心是:在 Agent 能调用 Skill 之前,识别其是否请求过宽的工作区、shell 或網路能力。下列 Runbook 可与 Docker 指南 中的 Dashboard 隔离建议一并执行。
清点 Skill:列出将启用的 Skill 名称、来源(官方目录 / 自建 git / 第三方 zip),禁止无名 Skill 进生產。
读 manifest 能力:标记 filesystem、exec、browser、network 四类;任一类为「全量」则降级到 staging。
跑 Skill Audit:按官方 Dashboard / CLI 路径完成权限自检(与安裝向导中的 Audit 提示一致)。
最小 Agent 试跑:用只读工作区 + 单轮对话验证,不接入对外通道。
再开通道:通道白名单与 pairing 就绪后,才接 Telegram / 微信等入站流量。
留痕:把 Audit 结果、Skill 版本、Gateway 版本写入变更单,便于 30 天内回滚。
| 能力标记 | 风险 | 生產默认 |
|---|---|---|
| workspace 全盘读写 | 泄露 API Key、SSH 私钥 | 拒绝;改前缀沙箱 |
| exec / shell | 供應鏈 RCE | 仅 staging;生產需审批名单 |
| browser 自动化 | 会话劫持、内网探测 | 配合无头 Skill 清單或 Relay 隔离 |
| 对外 webhook | 未鉴权入站 | IP 允许列表 + 幂等键,见 webhook 排障文 |
openclaw security audit 扫描的是 Gateway 配置与暴露面(开放 DM 策略、危险 debug 开关、工具权限、外掛/Skill 供應鏈提示等),与 Skill Audit 互补。上线前建议固定顺序:doctor → security audit --deep →(可选)channels status --probe。
openclaw doctor --non-interactive openclaw security audit --deep openclaw security audit --json openclaw channels status --probe
| 工具 | 主要回答 | 自动修复 |
|---|---|---|
| openclaw doctor | 配置迁移、服务状态、通道警告、配对异常 | --fix 有界;会话归档需确认 |
| security audit | 暴露面、critical 策略、危险 flags | --fix 仅窄化项(如 allowlist、日志脱敏) |
| Skill Audit | 单 Skill 权限是否过宽 | 人工决定启用/禁用 |
2026.4.14+ Gateway 工具层会拒绝模型通过 config.patch 打开 audit 枚举的危险开关(如 dangerouslyDisableDeviceAuth)。若 audit 报 config.insecure_or_dangerous_flags,应视为阻断发布,而非「警告可忽略」。深度扫描可加 live Gateway probe,适合在维护窗口执行。
提示:security audit --fix 不会替你卸载恶意 Skill;卸载与版本回退仍走 plugins install 钉扎 + 状态卷恢复。
在 VPS 上装外掛时,常见错误是「宿主机 CLI 与容器内 Gateway 状态目录不一致」,导致 devices approve 或 plugins list 假阴性。遠端 Mac 节点则更适合需要长期缓存模型与外掛目录的 team Gateway。
| 症状 | 先查 | 常见动作 |
|---|---|---|
| plugins list 无新包 | 是否 restart、卷挂载 | gateway restart;Compose 内 exec 安裝 |
| audit critical 阻断 | 危险 flags、开放 DM | 逐项关 debug;收紧 allowlist |
| update integrity drift | --json 漂移详情 | 重装钉扎版本;勿强制跳过校验 |
| doctor 与外掛版本打架 | peer 依赖表 | 升 core 或降外掛 tag;勿只升一侧 |
| Skill 启用后磁盘暴涨 | session / 浏览器缓存 | 對照磁盘水位 Runbook |
控制面建议保持 127.0.0.1:18789 绑定,本机用 ssh -L 18789:127.0.0.1:18789 user@vps 打开 Control UI 做 Audit,避免为省事把管理口暴露到公网。日志排障仍用通道 / Gateway / 模型三段式,见 doctor 清單。
若团队需要可审计的外掛变更、固定 SLA 与 7×24 Gateway,在笔记本上反复 install/rollback 往往成本更高;对 iOS CI/CD 与 OpenClaw 常驻 Agent 并行的生產环境,VpsMesh 的 Mac Mini 云端租赁通常是更优解——独占节点、可预测磁盘与带宽,便于钉扎外掛目录与状态卷。价格见 價格頁,遠端接入见 幫助中心。