チームが OpenClaw Gateway を CALMVPS ベアメタル リモート Mac に移したあと、次の壁は 18789 ポートではなく Skills サプライチェーン であることが多いです。2026 年初頭に公開された ClawHavoc と CVE-2026-25253 は、悪意ある Skill が過剰権限・機密情報の外部送信・fetch-and-execute パターンで Gateway Token、ワークスペース、チャネル鍵を危険に晒すことを示しました。本稿は「第三者 Skills を入れなければならないが、主力ノートを攻撃面にしたくない」場面向けに、再現可能なホワイトリスト手順、隔离インスタンス、並列リソースの切り方を整理します。
読み終えると次の三つに答えられます。① 2026 年の Skills 脅威をどの軸で准入審査するか。② Gateway をどのリモートノードに置き、M4 と M4 Pro で「隔离インスタンス」にどれだけ余裕を残すか。③ Skill 導入前の六段階と 18789 / launchd エラー時に最初に打つコマンドは何か。機種と契約期間は CALMVPS 料金ページを参照してください。
01 2026 OpenClaw Skills 脅威像:なぜ「入れてから考える」ではなくガバナンスが必要か
Skills は Agent が外部ツールとスクリプトを呼び出す仕組みであり、本質は実行可能なサプライチェーンです。2026 年のコミュニティ監査と学術プレプリントは、マーケット型 Skills リポジトリに相当割合の悪意または高リスク項目が存在することを繰り返し指摘しています。攻撃面は主に三類に集中します。
- 機密情報の外部送信:Keychain、環境変数、チャネル Token、ワークスペース内 API 鍵の読み取りを誘導し、ネットワーク経由で外部へ送る。
- 過剰エージェンシー(Excessive Agency):十分な承認なく shell、ファイル書き込み、金融関連自動化を起動する。
- サプライチェーン汚染:インストールスクリプトが実行時にリモート payload を取得し、Gateway と同一プロセスまたは同一ユーザー権限で実行する。
公開議論の ClawHavoc キャンペーンと CVE-2026-25253(Skill 実行時のリモートコード実行系リスク)は、Gateway が個人メール、ブラウザ設定、社内ソースを置く主力 Mac上で動くと、単一の悪意 Skill の blast radius がマシン全体のユーザー権限に等しいことを示しています。Gateway を専用ベアメタル リモート Macへ移し、インスタンス隔离とホワイトリストを組み合わせることは、リスクを「廃棄可能・スナップショット可能・入れ替え可能」な境界内に閉じ込める工程的手法です。
ガバナンスの短い指針です。「Skills は先に監査、Gateway は専用機、インスタンスは信頼域で分割」。トレンドは追っても、権限をデフォルト全開にしてはいけません。
脅威研究と CVE エントリは上流リポジトリの更新に追随します。発版後は次のリンクを再度開いて照合してください。
02 ローカル主力 Mac vs CALMVPS リモートベアメタル:Skills 文脈での役割分割
多くのチームはローカル Mac で公式インストールスクリプトにより Gateway を通し、続けてコミュニティ Skills を直接入れます。デモ環境では成立しますが、本番では信頼できないコード実行と日常業務データが同一ユーザーセッションに結び付きます。下表はレビュー会で「Gateway をレンタルノードへ移す必要があるか」を一度に揃えるためのものです。
| 次元 | ローカル主力 Mac | CALMVPS ベアメタル リモート Mac |
|---|---|---|
| 攻撃面 | 個人ファイル、ブラウザ、メールが同一ユーザー | OpenClaw 状態ディレクトリとチャネル設定のみ |
| Skills 試行錯誤コスト | 誤削除・暗号化リスクが高くロールバック困難 | インスタンス再構築、日租 Worker で Skill 試装可能 |
| 7×24 と監査 | スリープ・更新で中断、ログ分散 | launchd 常駐、ログ集中永続化 |
| 隔离インスタンス | 同一機多 Profile でもカーネル共有 | Hub + 並列リソースで Gateway を物理分離可能 |
| 推奨契約 | 自前デバイス | Gateway は月/四半期、Skill 試装は日/週並列 |
ローカル Canvas、画面収録、system.run も必要な場合は、主力機に Skills を積み増すのではなく、サイト既述の Remote 双機トポロジ(Gateway は遠隔、Node はローカル)を採用してください。トポロジ詳細は OpenClaw リモート Mac 双機トポロジ、Gateway ゼロからの導入は インストール完全ガイドを参照してください。
03 多リージョンノードと M4/M4 Pro/ストレージ:「隔离インスタンス」向け算力余裕
Skills ガバナンスはセキュリティだけの話ではありません。高権限 Skill は並列子プロセス、大規模モデルコンテキスト、ワークスペース書き込みを誘発します。選定ではメモリピークとディスク増加速度を見積もってください(パス設計は ストレージとログガバナンスを参照)。
| シナリオ | 推奨リージョン | ティア | ストレージ |
|---|---|---|---|
| 単一 Gateway + 少数信頼 Skills | チャネル利用者に最も近い(HK/SG/JP 等) | M4 24GB | 512GB–1TB、~/.openclaw に 80GB+ 確保 |
| 多チャネル + 高頻度 Skill 呼び出し | 利用者/モデル出口と同区 | M4 Pro | 1TB 起、ログ監査を有効化 |
| 非信頼 Skill サンドボックス試装 | Hub と同区で低遅延 | 並列日/週租 Worker | 独立 OPENCLAW_STATE_DIR、試後破棄 |
| 跨区災備 Hub | 次密集区の読み取り専用レプリカ | Hub 同格または一段下 | 長期 Memory アーカイブなら 2TB |
- ノード遅延:Skills 自体は 20ms 級 RTT に鈍感ですが、Gateway と Telegram/Discord 等のチャネル出口は同区に置き、「Skill タイムアウト」と「モデル障害」を混同しないでください。
- M4 16GB:信頼 Skills が少なくローカルモデル兜底がない軽量 Bot のみ向きます。多 Skill 並列を有効にするなら 24GB または M4 Pro へ直接上げることを推奨します。
- 1TB/2TB:Skill バイナリ自体ではなく、ワークスペーススナップショット、監査ログ、ロールバックバックアップ用の余裕です。
04 Skills 導入前六段階ホワイトリスト:再現可能な准入フロー
リモートベアメタル上で openclaw skills install または同等コマンドを実行する前に、次の六段階をチーム Runbook として固定することを推奨します(コマンドは現行 CLI バージョン準拠、アップグレード後は公式ドキュメントと照合してください)。
- ソース固定:組織承認 Git リポジトリまたは内部制品庫からのみ Skill を取得する。本番 Gateway への未署名マーケット項目の直接インストールを禁止する。
- 静的スキャン:Skill パッケージ内の
curl|bash、リモート URL ダウンロード、~/.ssh、.env、Keychain 関連 API の有無を確認する。疑わしきは並列 Worker で試装する。 - 権限最小化:
exec-approvals.jsonで高危険 shell をデフォルト拒否し、必要分のみ逐次許可する。Remote 双機ではローカルと遠隔のポリシーを別々にバックアップする。 - 状態ディレクトリ隔离:試装インスタンスに独立
OPENCLAW_STATE_DIRを設定する(iCloud 同期パス不可)。Hub のチャネル Token を汚染しない。 - バージョン整合:Hub と試装 Worker で
openclaw --versionを一致させてから Skill を入れる。「Skill は入ったが Gateway プロトコル不一致」の偽陽性を減らす。 - 導入後验收:loopback の 18789 のみでヘルスチェックする。Channel オンライン、サンプル対話に異常外部ドメインがないことを確認してから本番 Profile に昇格する。
export OPENCLAW_STATE_DIR="$HOME/.openclaw-sandbox"
openclaw --version
openclaw gateway status
curl -fsS http://127.0.0.1:18789/healthz
試装失敗時はインスタンス破棄または日租並列へ切替、Hub で毒パックを繰り返し試さない公式インストール入口(発版後は再確認):
05 並列リソース、多インスタンス隔离、Gateway/Token 排障速見表
Hub-and-Spoke を Skills ガバナンスに当てはめると、本番 Hub には信頼 Skills のみを載せ、「マーケット試食」は Spoke(並列日/週租 Worker)で完結し、通過後に制品として Hub へ昇格させます。ある Skill が token 増幅やディスク書き込みを起こしても、爆発半径は破棄可能な Worker に限定されます。
- 既定 Gateway WebSocket ポート:
18789(公式 macOS ドキュメント)。排障時はlsof -i :18789でポート占有を除外してからトンネルと Token を確認する。 - LaunchAgent ラベル:
ai.openclaw.gateway。多 Profile 時はai.openclaw.<profile>とし、試装と本番で launchd ラベルを共有しない。 - 状態ディレクトリ:
~/.openclawまたは suffix 付き sandbox を推奨する。ノード移行時はexec-approvals.jsonとチャネル設定を同期するが、試装ディレクトリを Hub へ直接 rsync しない。
| 現象 | 優先確認 | 第一修正 |
|---|---|---|
| Skill 導入後 Gateway 終了 | launchd ログ、Node バージョン | Worker で再現、バージョン整合後 kickstart |
| token_missing_config / device_token_mismatch | Hub と CLI の Profile 一致 | Token 再生成、試装 Token を本番設定へ書かない |
| ディスクが一晩で数十 GB 増加 | ワークスペースと Skill キャッシュ | ストレージガバナンス文に従い清理、非信頼 Skill は Hub 停止 |
| チャネル正常だが Skill 無応答 | Skill の出站プロキシ要否 | ノード所在区で再試行、必要ならリージョン Gateway 変更 |
| 悪意 Skill の疑い | 最近の導入記録とネット接続 | Hub 停止、鍵ローテ、スナップショット復元または並列機入替 |
実務例として、ある自動化チームは Hub をシンガポール M4 Pro 月次ノードに固定し、内部署名 Skills 12 本のみを載せました。マーケット新 Skill は香港日租並列 Worker で 48 時間試装し、静的スキャンと対話サンプリング通過後に昇格させています。Hub は試装によるチャネル中断がなく、総コストは「単機顶配 + 手動復旧の繰り返し」より低い、との報告があります。
06 契約ガード、FAQ、調達結論
日租/週租:Skill 試装、侵入的自查、短期 PoC に適します。試装終了後は並列を即解放し、悪意 Skill の長期潜伏を防ぎます。月租/四半期:Hub Gateway の算力と IP 信誉を固定し、ホワイトリスト化済み本番 Skills に向きます。四半期 + 並列:Hub のディスクと Memory アーカイブが安定増加する場合、四半期で単価を下げ、脉冲試装は週租 Worker に逃がします。
FAQ 速答:
- ローカル Mac だけでホワイトリストは可能か?可能ですが、業務データと同機は非推奨です。リモート専用機の方がインスタンス破棄と鍵ローテが容易です。
- M4 16GB で Skills は足りるか?少数信頼 Skills なら可。マーケット試装と多 Agent 並列は 24GB または M4 Pro を推奨します。
- CVE 修正後も隔离は必要か?必要です。パッチは RCE 確率を下げますが、ソースガバナンスと最小権限の代替にはなりません。
OpenClaw Skills を個人ノートや家庭 NAS に直接載せると、悪意 Skill と私データが同一セッション、スリープによる監査中断、Token とチャネル鍵が再現不能なディレクトリに混在という弱点が残ります。純 Linux VPS には macOS ツールチェーンと TCC 関連 Node 能力がありません。監査可能なホワイトリスト、隔离試装、7×24 Gateway が必要なチームには、CALMVPS 多リージョン ベアメタル Macが Skills ガバナンスの宿主として適しています。Apple Silicon 専有、約 120 秒交付、M4 Pro と並列リソースで Hub 階層を上げず試装尖峰を吸収できます。ノードと契約は CALMVPS 料金ページ、接続問題は ヘルプセンターをご確認ください。