Runbook en huit étapes et grille de preuves pour Mac distant (VNC)
v2026.5.3 durcit la surface filesystem : file_fetch et dir_fetch sont refusés par défaut, exigent des allowlists de préfixe explicites, un audit JSON sensible aux liens symboliques et des profils d'appariement avec empreintes et jetons rotatifs pour une synchronisation maîtrisée entre hôtes. Si les correctifs LaunchAgent de v2026.5.3-beta.2 sont déjà en place, ce guide est l'extension contrat de chemins. Croisez v2026.5.7 publication plugins, audit SecretRef et isolation multi-projets pour un seul ticket narratif.
Les changements réseau ou d'ordonnancement excitent car les tableaux de bord bougent. La politique fichiers semble ennuyeuse jusqu'à ce que la conformité exige la preuve que les agents n'ont jamais touché les clés SSH clients. v2026.5.3 traite donc les outils fichiers comme une frontière de sécurité, pas comme un simple confort. La liste ci-dessous sert aux astreintes qui doivent expliquer pourquoi un refus est plus sain qu'un succès silencieux, et aux partenaires sécurité qui veulent des chemins canoniques en JSON, pas seulement des captures.
Les Mac distants loués mélangent souvent comptes d'automatisation et comptes humains de dépannage. Le décalage d'utilisateur n'est pas une question de parsing : il faut prouver que le processus Gateway et le HOME chargé par LaunchAgent appartiennent au même UID.
Refus par défaut : hors table de préfixe signée, erreurs structurées pour les moniteurs, pas de suspensions ambiguës.
Plafonds de répertoire : dir_fetch exige profondeur et cardinalité explicites pour éviter une énumération devenue déni de service disque.
Audit symlink : les cibles canoniques apparaissent dans les lignes d'audit ; les échappements montent en événements explicites.
Appariement : les profils inter-hôtes lient empreintes et jetons rotatifs ; copier la config n'étend pas la confiance latéralement.
Couplage SecretRef : les racines autorisées doivent s'aligner sur les répertoires de travail exec utilisés pour les instantanés d'identifiants.
Dérive d'identité distante : édits SSH vs navigation VNC sous un autre utilisateur créent des fantômes ; la vérif VNC même utilisateur est obligatoire.
La matrice est volontairement étroite : quelles preuves exigent une session graphique versus du texte pur. Les fournisseurs optimisent SSH-first, mais les opérateurs OpenClaw ont souvent besoin de preuves locales navigateur pour les litiges sur panneaux d'outils et cibles de glisser-déposer.
| Scénario | SSH seul | SSH + VNC même utilisateur | L'appariement ajoute |
|---|---|---|---|
| Éditer l'allowlist JSON et recharger | suffisant | recommandé pour cache UI | non requis |
| Vérifier l'UX de refus Gateway | facile à manquer | recommandé | non requis |
| Tirer des artefacts CI entre hôtes loués | scriptable | valider cibles drag vs cwd | requis empreintes + jeton |
| Isolation multi-projets | umask et split HOME | santé de la racine Finder | profil d'appariement séparé par projet |
| Export d'audit conformité | grep des fichiers d'audit | courte capture des refus | joindre les IDs de nœuds distants |
Les bugs filesystem ressemblent rarement à des crashs ; ils ressemblent à des lectures silencieuses découvertes des semaines plus tard.
Geler et snapshotter : exporter OPENCLAW_HOME, capturer openclaw --version, l'ID de bail et archiver l'allowlist JSON byte-identique.
Upgrade puis doctor : lire les notes 5.3 sur le refus par défaut ; si saut depuis 5.2, réconcilier avec v2026.4.5 migration cassante.
Allowlist minimale : seulement racines d'artefacts CI, un préfixe monorepo et manifestes explicites ; jamais HOME entier sous pression.
Contraindre dir_fetch : plafonds de profondeur, limites d'entrées, filtres d'extensions ; exclure explicitement node_modules et caches dérivés.
Profils d'appariement : échanger empreintes, délimiter lecture seule vs lecture-écriture, faire tourner les jetons sur leur propre cadence.
Fumée Gateway : chemins autorisés et refusés dans une session jetable ; comparer messages UI, codes de sortie CLI et lignes JSON d'audit.
Aligner sur les installs 5.7 : si plugins fichiers ClawHub, matrice semver selon l'article de publication pour éviter des politiques mélangées.
Preuves de rollback : joindre exemples deny/allow/symlink-escape et lignes PAIRING_OK, lier gel staging et retour arrière.
openclaw --version openclaw doctor openclaw tools list | rg -n "file_fetch|dir_fetch" openclaw audit tail --since 15m | rg -n "PATH_DENIED|SYMLINK_ESCAPE|PAIRING"
Les noms de commandes doivent correspondre à votre CLI installée ; préférez les tableaux de migration des notes de version aux extraits sociaux.
| Vérification | Preuve VNC | Preuve SSH | Pass |
|---|---|---|---|
| UX de refus d'outil | capture 10s avec chemin | JSON PATH_DENIED | cohérent avec le code |
| Lecture autorisée | glisser un fichier d'exemple | chemin canonique dans le préfixe | pas d'échappement de préfixe |
| Sonde symlink | créer un lien hors préfixe | SYMLINK_ESCAPE ou équivalent | pas de suivi silencieux |
| Handshake d'appariement | console distante optionnelle OK | PAIRING_OK avec empreinte | politique de jeton à usage unique |
| Parité de version | pied de page Gateway | openclaw --version | aligné sur la matrice 5.3 |
La grille suppose Gateway et terminal côte à côte. Nouveau sur Mac loués : finir d'abord la checklist de premier lancement.
Pour les refus, dictez le numéro de ticket sur la piste audio pour éviter les mélanges de preuves.
Si vous validez aussi v2026.5.6 fetch et timeouts Gateway, séparez preuves réseau et preuves de refus local.
v2026.5.3 déplace la surface fichiers de la confiance implicite vers des contrats explicites. Les outils file_fetch et dir_fetch refusent par défaut, exigent des allowlists de préfixe, émettent des audits structurés avec chemins résolus et introduisent des profils d'appariement pour synchroniser des artefacts entre machines. Après beta.2, vous prouvez non seulement le boot des démons, mais aussi l'impossibilité de lire des répertoires sensibles hors contrat.
Le mode d'échec visé est subtil : les processus ne crashent pas quand un chemin est faux ; ils lisent silencieusement, mettent en cache et livrent des réponses plausibles en aval. Le refus par défaut rend la première lecture inattendue en erreur PATH_DENIED déterministe que l'automatisation peut classifier.
Les nœuds d'appariement existent car les allowlists locales n'expriment pas la confiance inter-hôtes. Copier la configuration vers un autre Mac loué ne doit pas hériter silencieusement des mêmes privilèges inter-nœuds. L'appariement attache profils, empreintes et jetons rotatifs pour exiger une cérémonie plutôt qu'une copie de fichier.
Les symlinks méritent leur propre voie d'audit : un chemin littéral peut rester dans le préfixe autorisé tandis que la cible canonique échappe vers un autre volume ou un autre HOME utilisateur. Les notes 5.3 exigent des lignes d'audit avec chemin résolu et des événements d'échappement quand la résolution franchit la frontière du contrat.
La location de Mac distants amplifie la confusion d'identité : administration SSH et débogage navigateur sous un autre utilisateur macOS. Les outils fichiers mettent en cache la politique par utilisateur Gateway ; si vos édits SSH vont dans un HOME pendant que le démon tourne dans un autre, vous chassez des fantômes.
L'énumération de répertoires exige des garde-fous numériques au-delà des préfixes. Une liste récursive naïve peut fondre CPU et caches d'inodes sur de grands arbres node_modules même si la racine est techniquement autorisée. Configurez maxDepth, plafonds par dossier et filtres d'extensions ; traitez les exclusions de caches de build comme des éléments de revue indépendants de la rotation des jetons.
L'alignement SecretRef compte même si les outils fichiers ne déchiffrent pas les secrets : si la racine autorisée diverge du cwd exec pour les instantanés SecretRef, vous observez de faux négatifs fichiers lisibles mais identifiants runtime en échec.
Avec les correctifs fetch 5.6 ou les timeouts Gateway, divisez les paquets de preuves : les pannes réseau et les refus locaux produisent des latences similaires mais un triage différent.
Le rythme opérationnel reflète la chaîne de publication 5.7 : preuves semver après installation, JSON consommable par les moniteurs, artefacts de rollback avec diff. Les outils fichiers ajoutent des échantillons de chemins canoniques et des empreintes d'appariement.
Pour les réseaux d'entreprise, joignez le runbook proxy sortant lorsque les agents mélangent téléchargements distants et scans locaux.
Presse-papiers et glisser-déposer relèvent d'autres familles d'articles ; ce guide reste strictement sur outils de chemins explicites et appariement.
La surface filesystem n'est pas un simple raccourci d'ingénierie : c'est un contrat opérationnel. Chaque lecture réussie doit être accompagnée, dans le ticket, d'une ligne d'audit JSON avec chemin canonique et version d'outil, au-delà de la capture d'écran seule. Sans cette discipline, les post-mortems confondent symptômes réseau et causes locales déterministes, ce qui allonge inutilement les incidents.
Sur Mac distants loués, la confusion entre comptes SSH interactifs et démons Gateway est fréquente. Un éditeur modifie une policy dans un HOME tandis que launchd en charge un autre. VNC sous l'utilisateur du service aligne Finder, Terminal et Gateway sur la même vérité de chemin, évitant les fausses régressions dues au cache ou à la divergence de profils.
Les profils d'appariement doivent être versionnés et isolés des clés API générales. Partager un identifiant de profil entre deux monorepos inscrit une symétrie lecture-écriture implicite que personne n'a approuvée. Documentez empreintes autorisées, cadence de rotation des jetons et racines inscriptibles. Les guides multi-projets aident à synchroniser les séparations HOME et variables d'environnement.
Les tests de liens symboliques doivent faire partie des régressions mineures, pas seulement des audits annuels. Un chemin littéral peut rester dans le préfixe alors que la cible canonique sort du périmètre. Les journaux doivent donc matérialiser la cible résolue et promouvoir les sorties en événements explicites. Filtrer uniquement sur préfixes textuels sous-estime cette classe d'erreurs.
dir_fetch exige des plafonds numériques : profondeur maximale, nombre d'entrées par dossier, filtres d'extensions, exclusions explicites des caches de build. Ne compressez pas ces réglages avec la rotation des jetons d'appariement : ce sont deux surfaces de risque distinctes pour le comité de changement.
L'interface Gateway et la CLI doivent converger sur les messages de refus. Toute divergence suggère versions mixtes ou caches divergents. Dans les grappes louées, un nœud canary peut devancer les autres : tenez une matrice semver comme dans l'article de publication de plugins et reliez-la aux versions des outils fichiers.
Les proxys sortants restent orthogonaux mais pertinents quand un agent combine téléchargements distants et balayages locaux. Séparez les preuves : traces réseau, journaux proxy, lignes d'audit locales. Cette séparation réduit le MTTR en orientant immédiatement l'hypothèse de dépannage correcte.
Les plans de retour arrière doivent contenir des octets, pas seulement des intentions. Exportez les listes blanches avant upgrade, archivez les hachages des plists et reliez le guide de rollback staging. En crise, l'équipe doit reconstituer l'état exact en minutes, pas reconstruire depuis des fils de discussion.
Après montée de version, doctor doit lister explicitement les outils fichiers et signaler toute attente encore permissive. Les migrations cassantes 4.5 peuvent sinon coexister silencieusement. Joignez les articles de migration et ce guide dans un même ticket CAB pour rendre les dépendances visibles.
Les preuves VNC doivent être courtes : dix secondes avec chemin visible et numéro de ticket en audio ou overlay. Les longues sessions perdent la traçabilité. Réutilisez la grille de la section cinq comme script opératoire pour éviter l'improvisation des nouveaux opérateurs.
Les jetons d'appariement doivent être éphémères et tourner séparément des clés API longues. Une compromission limite l'impact au profil si les empreintes sont correctement épinglées. Documentez émission et révocation formelles pour éviter le partage informel via messagerie.
L'alignement SecretRef impose que le répertoire de travail d'exécution corresponde aux racines autorisées. Sinon, les outils voient des fichiers incohérents avec les instantanés de secrets, créant des faux négatifs en test et de vraies ouvertures si l'on élargit la liste sans vérifier le cwd.
La performance est sécurité : un dir_fetch sans garde-fous peut saturer l'IO et nuire aux autres services sur le même Mac loué. Ajoutez fenêtres de batch ou limites de débit pour les inventaires massifs et corrélez charge CPU avec événements d'audit. Sinon, un chemin autorisé peut devenir une arme de déni de service involontaire.
Formez le support pour que PATH_DENIED ne soit pas systématiquement classé bug. Souvent, c'est le comportement attendu signalant une liste trop large ou mal ordonnée. Un playbook court réduit les escalades inutiles et préserve l'attention pour les vraies régressions.
Avec les timeouts Gateway 5.6, concevez des tests disjoints : timeouts réseau séparés des refus locaux, afin de ne pas interpréter le nettoyage du dispatcher comme un problème filesystem. Utilisez des corrélations différentes pour paralléliser sans mélanger les journaux.
À terme, exportez des métriques sur la fréquence des refus, des échappements symlink et des handshakes d'appariement par hôte. Les tendances révèlent la dérive avant les anecdotes. Reliez ces tableaux de bord à la timeline des releases pour corréler sans dupliquer de prose.
Enfin, imposez une revue dédiée des changements de liste blanche, distincte du review de code classique. Le fichier est petit, l'effet immense. Un second pair d'yeux focalisé sur la sémantique des chemins évite les erreurs de copier-coller entre dossiers aux noms proches.
L'exploitation hebdomadaire doit relire les diffs d'allowlist et calendrier les expirations de jetons. Les promesses verbales ne remplacent pas les lignes JSON. Sur Mac loués, un contrôle mensuel VNC alignant Finder et terminal HOME pour l'utilisateur service est une assurance bon marché contre la dérive d'identité.
L'automatisation doit escalader PATH_DENIED en deux paliers : observation des motifs uniques, puis page quand la répétition augmente. Les échappements symlink doivent pager immédiatement car ils sont critiques même s'ils ne croissent pas linéairement.
Enfin, la valeur stratégique d'un Mac distant loué est de garder Apple Silicon toujours prêt, Gateway, terminal et audit dans une même session graphique, plus difficile à reproduire depuis des laptops SSH intermittents.
Vérification ClawHub et matrice semver.
Lire →Instantanés d'identifiants vs cwd exec.
Lire →Splits HOME et clés API.
Lire →Cela pousse le risque vers la revue d'allowlist et renvoie des erreurs structurées que le monitoring classe, au lieu de lectures silencieuses larges.
L'allowlist borne la visibilité locale ; l'appariement borne quelle relation distante peut synchroniser, avec empreintes et jetons.
Les journaux CLI et audit passent en SSH ; les panneaux Gateway et les preuves drag-and-drop exigent VNC même utilisateur pour éviter les faux négatifs de cache.
Les préfixes littéraux peuvent mentir ; il faut journaliser les cibles canoniques pour que les échappements ne se cachent pas dans des chemins anodins.
v2026.5.3 rend l'accès fichiers lisible : refus d'abord, contrats explicites, appariement pour le mouvement latéral, audit symlink. Sans VNC croisé même utilisateur sur hôtes loués, vous payez une taxe de coordination supérieure à la valeur des outils.
Posséder un Mac implique toujours amortissement, politiques de veille et bande passante de bureau. Un Mac Apple Silicon loué garde disponibilité et images de base chez le fournisseur tout en vous laissant le contrôle de configuration et l'alignement Gateway, terminal et audit dans une session.
Pour reproduire cette acceptation sur un Mac distant, utilisez VNCMac : bouton principal vers la page de location Mac cloud ; connexions dans le centre d'aide.