После переноса OpenClaw Gateway на CALMVPS bare metal удалённый Mac узким местом часто становится цепочка поставки Skills: публичные случаи ClawHavoc и CVE-2026-25253 в 2026 показывают, что вредоносные Skills компрометируют токены Gateway, workspace и ключи каналов через избыточные права, эксфильтрацию и fetch-and-execute. Статья для команд, которым нужны сторонние Skills без превращения основного ноутбука в поверхность атаки: воспроизводимый белый список, изолированные инстансы и параллельные worker.
После прочтения: измерения угроз Skills 2026; выбор удалённого узла и M4 vs M4 Pro под изоляцию; шесть шагов до openclaw skills install; triage 18789 и launchd. Железо и сроки — на странице цен CALMVPS.
01 Ландшафт угроз Skills 2026: governance, а не «поставил и надеюсь»
Skills расширяют агента внешними инструментами и скриптами — фактически исполняемая supply chain. Аудиты сообщества и препринты 2026 сходятся: в репозиториях типа marketplace заметная доля вредоносных или высокорисковых записей. Три класса:
- Эксфильтрация: чтение Keychain, переменных окружения, токенов каналов или API-ключей из workspace с отправкой в сеть.
- Excessive Agency: запуск shell, записи на диск или финансовой автоматизации без достаточного approve.
- Supply-chain poisoning: install-скрипты подтягивают remote payload с правами Gateway или пользователя.
ClawHavoc и CVE-2026-25253 (RCE в runtime Skill) показывают: если Gateway на основном Mac с почтой, браузером и корпоративным кодом, blast radius равен правам сессии. Перенос Gateway на выделенный bare metal удалённый Mac плюс whitelist и изоляция инстансов — инженерный ответ, а не опциональный overhead.
Правило: сначала аудит Skills, Gateway на выделенной машине, инстансы по доменам доверия — тренды не открывают права по умолчанию.
Если Skills или их логи обрабатывают персональные данные разговоров, заранее учтите регион и договор обработки; CALMVPS документирует площадки и контракты; держите audit-логи отдельно от личных ноутбуков.
Threat-research и CVE меняются с upstream — перед prod сверить:
02 Local vs CALMVPS bare metal: разделение ролей для Skills
Многие локально ставят Gateway и community Skills — в демо гладко, в проде недоверенное исполнение кода и офисные данные в одной сессии. Таблица для ревью «нужен ли арендованный узел?».
| Измерение | Local (основной Mac) | CALMVPS bare metal Mac |
|---|---|---|
| Поверхность атаки | Личные файлы, браузер, почта в том же user | Только state OpenClaw и конфиг каналов |
| Стоимость эксперимента Skills | Риск удаления/шифрования; rollback сложен | Пересборка инстанса; суточный worker для тестов |
| 7×24 и audit | Сон, обновления; логи разрознены | launchd постоянно; логи на диске централизованы |
| Изолированные инстансы | Несколько profile делят ядро | Hub + параллельные ресурсы физически разделимы |
| Рекомендуемая аренда | Своё устройство | Hub месяц/квартал; тест Skills — параллель сутки/неделя |
Если нужны локально Canvas, запись и system.run, используйте Remote-топологию двух машин (Gateway удалённо, узел локально), а не стек Skills на ноутбуке. См. OpenClaw удалённый Mac две машины; первичная установка: полный гайд.
03 Multi-region узлы и M4/M4 Pro: ёмкость под изоляцию
Governance Skills — не только security: высокопривилегированные Skills порождают subprocess, большие контексты или заполняют workspace. Планируйте пики RAM и рост диска (пути хранения: governance хранилища и логов).
| Сценарий | Регион | Ступень | Диск |
|---|---|---|---|
| Один Gateway + мало доверенных Skills | Ближе к пользователям каналов (HK/SG/JP) | M4 24 ГБ | 512 ГБ–1 ТБ, 80 ГБ+ под ~/.openclaw |
| Мультиканал + частые вызовы Skills | Та же региональность, что egress модели | M4 Pro | 1 ТБ+, audit-логи включены |
| Sandbox недоверенных Skills | Низкая задержка до hub | Параллельный worker сутки/неделя | Отдельный OPENCLAW_STATE_DIR, уничтожаем после теста |
| Cross-region DR hub | Вторичный регион, read-replica | Как hub или на ступень ниже | 2 ТБ при долгом архиве Memory |
- Latency: Skills мало чувствительны к RTT; co-locate Gateway и egress Telegram/Discord, чтобы timeout Skill не списали на модель.
- M4 16 ГБ: для малого числа доверенных Skills без локальной модели; параллель multi-Skill → 24 ГБ или M4 Pro.
- 1 ТБ/2 ТБ: snapshots workspace, audit и rollback — не под бинарники Skills сами по себе.
04 Белый список из шести шагов перед установкой Skill
Перед openclaw skills install на bare metal удалённом Mac зафиксируйте шесть шагов в team runbook (версию CLI сверить с официальной докой перед release):
- Фиксированный источник: только одобренные Git-репо или внутренние артефакты; без неподписанных marketplace-записей на prod Gateway.
- Статический просмотр: пакет на
curl|bash, remote download, доступ к~/.ssh,.envили Keychain API — подозрение → параллельный worker. - Минимальные права: в
exec-approvals.jsonпо умолчанию deny рискованный shell; Remote две машины: отдельные backup policies local и remote. - Изолированный state: тестовый инстанс с отдельным
OPENCLAW_STATE_DIR(не в iCloud); не заражать токены hub. - Выравнивание версий: hub и worker
openclaw --versionодинаковы до install — меньше ложных срабатываний протокола. - Приёмка: health-check на loopback 18789; канал online, выборка без exfil-доменов — затем prod profile.
export OPENCLAW_STATE_DIR="$HOME/.openclaw-sandbox"
openclaw --version
openclaw gateway status
curl -fsS http://127.0.0.1:18789/healthz
При сбое: уничтожить worker, не повторять suspect-пакет на hubОфициальный install (версию перед prod проверить): https://openclaw.ai/install.sh
05 Параллельные ресурсы, multi-instance и triage Gateway/Token
Hub-and-Spoke для Skills: prod hub только с доверенными Skills; эксперименты marketplace на spoke (параллельный worker сутки/неделя). Promotion во внутренний артефакт после теста — blast radius ограничен disposable worker.
- WS-порт Gateway по умолчанию:
18789; сначалаlsof -i :18789, затем tunnel и token. - LaunchAgent:
ai.openclaw.gateway; multi-profile:ai.openclaw.<profile>— test и prod раздельно. - State directory:
~/.openclawили sandbox-suffix; при миграции сохранитьexec-approvals.jsonи каналы, не rsync sandbox на hub.
| Симптом | Сначала проверить | Первое исправление |
|---|---|---|
| Gateway exit после install Skill | launchd log, версия Node | Repro на worker; выровнять версию, kickstart Gateway |
| token_missing_config / device_token_mismatch | Hub vs CLI один profile | Regenerate token; test-token не писать в prod |
| Диск +30 ГБ за ночь | Workspace, Skill cache | Storage governance; при подозрении stop hub |
| Канал OK, Skill молчит | Skill нужен proxy/egress | Retry в регионе узла; сменить регион Gateway при необходимости |
| Подозрение на malicious Skill | История install, сетевые соединения | Stop hub, rotate secrets, snapshot или новый parallel node |
Кейс: automation-команда, hub Сингапур M4 Pro месяц, двенадцать internally signed Skills; marketplace-новинки 48 ч на суточном worker Гонконг со static scan — каналы hub без простоя, суммарно дешевле single top-tier плюс ручной firefighting.
06 Лестницы аренды, FAQ и вывод по закупке
Сутки/неделя: Skill sandbox, pen-test или короткий PoC — затем освободить parallel node. Месяц/квартал: hub Gateway с утверждённым whitelist. Квартал + parallel: диск hub и Memory archive растут стабильно — квартал за unit price, пики через weekly worker.
FAQ:
- Whitelist только локально? Возможно, но remote bare metal упрощает destroy instance и secret rotation.
- Хватит M4 16 ГБ для Skills? Для малого числа доверенных Skills; marketplace tests и multi-agent → 24 ГБ или M4 Pro.
- Изолировать после CVE-fix? Да — патчи снижают вероятность RCE, не заменяют source governance.
Skills на личном ноутбуке или NAS часто связывают malicious code с приватными данными, audit, прерванный сном, tokens в невоспроизводимых каталогах; чистый Linux VPS без macOS toolchain и TCC node capabilities. Для auditable whitelist, isolated tests и Gateway 7×24 подходит CALMVPS multi-region bare metal Mac: выделенный Apple Silicon, выдача ~120 с, M4 Pro и parallel nodes под test spikes без upgrade hub. Узлы и условия: страница цен CALMVPS; поддержка: центр помощи.