リモート Mac(VNC)八段ランブックと証拠表
v2026.5.3 はファイルシステム面を境界化します。file_fetch と dir_fetch は既定拒否でプレフィックス許可表が必須、シンボリックリンクを意識した監査 JSON、ホスト間同期にはフィンガープリントとローテトークンを伴うペアリングプロファイルが鍵です。LaunchAgent 周りを v2026.5.3-beta.2 で固め済みなら、本稿はパス契約の増分ガイドです。セキュリティ審査が一枚のチケットで読めるよう、v2026.5.7 プラグイン公開チェーン、SecretRef 監査、マルチプロジェクト隔離 と相互リンクしてください。
ネットワークやスケジューラの変更はダッシュボードが動くので盛り上がりやすい一方、ファイル方針の変更は退屈に見えます。しかしコンプライアンスが「顧客の SSH 秘密鍵に触れなかった証拠」を求めた瞬間に、曖昧な成功ログは紙くずになります。v2026.5.3 はツールを利便ラッパではなく境界として扱います。下の痛みリストは、拒否応答が沈黙の成功より健全であることを平易語で説明する当番向けと、スクリーンショットだけでなく JSON の正規化パスで捺印したいセキュリティパートナー向けです。
レンタルされたリモート Mac では自動化アカウントと人手トラブルシュート用アカウントが混ざりがちです。ユーザー不一致は設定ファイルがパースできたかどうか以前の問題です。Gateway プロセスと LaunchAgent が読み込んだホームが同一ユーザー ID に属するかを証明できなければ、「読んでいない」と主張する負の証明に時間を溶かします。
既定拒否:署名済み許可表の外は構造化エラーで返し、曖昧なハングではなく監視可能な失敗にします。
ディレクトリ上限:dir_fetch は深さと件数上限を明示し、列挙がローカルディスクへの偶発 DoS にならないようにします。
シンボリックリンク監査:正規化先が監査行に現れ、逸脱は明示イベントへ昇格し、静かな追従を許しません。
ペアリング:クロスホストのプロファイルがフィンガープリントとローテトークンに束ばれ、設定コピーだけで信頼が横に伸びません。
SecretRef 整合:許可されたワークスペース根が、資格情報スナップショット用の exec 作業ディレクトリと揃っているかを別稿で突き合わせます。
リモート身元の漂い:SSH での編集と別ユーザの VNC 閲覧では幽霊誤設定が生じます。同一ユーザ検証は必須です。
表は狭く意図的です。グラフィカルセッションが要る証拠クラスと、純テキストで足りるものの切り分けだけを答えます。ベンダーは SSH ファーストを推しますが、ツールパネルやドラッグ先の争いではブラウザローカルの証拠が要ります。
| シナリオ | SSH のみ | SSH と同一ユーザ VNC | ペアリングが足すもの |
|---|---|---|---|
| 許可表 JSON の編集と再読込 | 足りる | UI キャッシュ確認として推奨 | 不要 |
| Gateway の拒否 UX | 見落としやすい | 推奨 | 不要 |
| リース間で CI 成果物を引く | スクリプト化可 | ドラッグ先と cwd を突合 | 必須 フィンガープリントとトークン |
| マルチプロジェクト隔離 | umask と HOME 分割 | Finder の根の健全性 | プロジェクト毎の別ペアリング |
| コンプライアンス向け監査輸出 | 監査ファイル grep | 拒否の短い画面収録 | 遠隔ノード ID を添付 |
ファイルシステムの不具合はクラッシュに見えず、数週間後に気づく静かな読み取りに見えます。
凍結とスナップショット:OPENCLAW_HOME を書き出し、openclaw --version、リース ID、現在の許可表 JSON をバイト同一で保管しロールバックの基準を再構成ではなく実物にします。
アップグレードと doctor:既定拒否の意味を移行ノートで読み、5.2 から飛ぶなら v2026.4.5 破壊的移行 の順序と突き合わせバックアップの権威を保ちます。
最小許可表:CI 成果物根と単一モノレポのプレフィックスと明示マニフェストのみ。時間圧でもホーム全体やルート全体は出発点にしない。
dir_fetch の拘束:深さ上限、ディレクトリ毎の件数上限、拡張子フィルタ。node_modules と派生データは深さだけに頼らず明示除外。
ペアリングプロファイル:フィンガープリント交換、読み取り専用と読み書きの範囲、トークンは別カデンスでローテ、無関係な二モノレポ根を文書化されたロック無しで共有しない。
Gateway スモーク:捨てセッションで許可と拒否を叩き、UI メッセージ・CLI 終了コード・監査 JSON の三一致を一枚で示す。
5.7 導入との整合:ClawHub 由来のファイル系プラグインがあるなら公開稿のセマンティック行列で混在ポリシーを避ける。
ロールバック証拠:拒否・許可・シンボリックリンク逸脱のサンプルとペアリング OK 行をチケットへ。段階的アップグレードとロールバック へ連続性のリンクを張る。
openclaw --version openclaw doctor openclaw tools list | rg -n "file_fetch|dir_fetch" openclaw audit tail --since 15m | rg -n "PATH_DENIED|SYMLINK_ESCAPE|PAIRING"
コマンド名はインストール済み CLI に合わせ、ソーシャル断片よりリリースノートの移行表を優先してください。
| 検証 | VNC 証拠 | SSH 証拠 | 合格 |
|---|---|---|---|
| ツール拒否 UX | パスが見える十秒収録 | 監査 JSON の PATH_DENIED | コードと一致 |
| 許可読み取り | サンプルファイルをドラッグ | プレフィックス内の正規化パス | プレフィックス逸脱なし |
| シンボリックリンク探針 | プレフィックス外へのリンクを作成 | SYMLINK_ESCAPE 相当 | 静かな追従なし |
| ペアリング握手 | 任意の遠隔コンソール OK | フィンガープリント付き PAIRING_OK | ワンタイム方針 |
| 版のparity | Gateway フッタ | openclaw --version | 5.3 行列と一致 |
表は Gateway とターミナルを並べて開ける前提です。リース Mac が初めてなら初回チェックリストを先に済ませ、ウィンドウ管理と方針デバッグを同時にしないでください。
拒否を録るときは音声トラックでチケット番号を唱え、証拠取り違いを防ぎます。
v2026.5.6 の fetch メタデータと Gateway タイムアウト も併走するなら、ネット証拠とローカル拒否証拠を混ぜないでください。
v2026.5.3 はファイル面を暗黙の信頼から明示契約へ移します。バンドルツール file_fetch と dir_fetch は既定拒否でプレフィックス許可表を要し、正規化済みパスを伴う構造化監査イベントを出し、二台間の成果物同期にはペアリングプロファイルを導入します。beta.2 で LaunchAgent と Gateway の遅延読込を固め済みなら、本章はファイルシステムの姉妹編です。デーモンが起動するだけでなく、レビュアが契約に載せたディレクトリ以外をエージェントが読めないことを証明します。
防ぎたい失敗は地味です。パスが少しでもズレるとプロセスは落ちず、意図しないファイルを静かに読み、文脈へ埋め込み、下流へもっともらしい答えを運びます。既定拒否は経済性を反転させ、最初の想定外読み取りを PATH_DENIED 系の決定的エラーへ昇格させ、人間にも Gateway ツール面にも明瞭な説明を残します。事後のログ読み返し十回より価値があります。
ペアリングは許可表だけでは表現できない横断信頼のためです。設定ファイルを別のリース Mac へコピーしただけで同一のノード間権限が継承されるべきではありません。ペアリングはプロファイルをフィンガープリントとローテトークンに束び、リース間の横移動には明示の儀式を要します。マルチプロジェクト隔離稿と組み合わせれば、書き込み可能な二つのモノレポ根を、意図的なロック設計無しに共有しない運用へ落とし込めます。
シンボリックリンクは監査の別レーンに値します。文字列上のパスは許可プレフィックス内に見えても、正規化先は別ボリュームや別ユーザのホームへ抜けます。5.3 のリリースノートは解決済み実体パスを監査行へ残し、契約境界を越える解決は逸脱クラスのイベントを出すことを求めます。許可表ヒットだけを grep する運用は、明示のシンボリックリンク探針をスモークに入れない限り見逃します。
リモート Mac のレンタルは身元の混乱を増幅します。SSH で管理し別ユーザのブラウザでデバッグするのは日常です。ファイルツールは Gateway ユーザ毎に方針をキャッシュします。SSH で編集したホームとデーモン実ユーザが食い違うと幽霊を追います。本稿の受入表は CLI 中心でも同一ユーザ VNC の交差確認を強います。
ディレクトリ列挙はプレフィックスを越えた数値ガードが要ります。素朴な再帰列挙は技術的に許された根でも巨大な node_modules で CPU と inode キャッシュを溶かします。maxDepth、ディレクトリ毎の件数上限、拡張子フィルタを明示し、ビルドキャッシュ除外はペアリングローテとは独立したレビュー項目として扱い、金曜一枚変更に束ねないでください。
SecretRef はファイルツールが秘密を復号しないからといって無関係ではありません。許可ワークスペースが SecretRef スナップショット解決に使う exec cwd と食い違うと、ファイルは読めるのに実行時資格情報だけ失敗する偽陰性が出ます。SecretRef 監査稿を同一チケットへ載せ、二つの矛盾する物語を一つに束ねてください。
5.6 の fetch 整理や Gateway タイムアウト作業と並走するなら証拠パックを分割してください。ネット層の失敗とローカル拒否判断は似た遅延症状を出し、混在させると復旧が遅れます。UI 向け拒否は十秒の短い収録で十分です。可視テキストにパスが写ると所有権争いが早く終わります。
運用の拍は v2026.5.7 の公開チェーン で学んだのと同型にします。導入後の semver 証拠、下流監視がパースする JSON、ロールバック添付の前後 diff。ファイル面は正規化パス標本とペアリング指紋を同梱します。監査人は散文より機械可読行を好みます。週次のリリース差分を再読しなくて済むからです。
企業のフォワードプロキシは直交します。外向き fetch が失敗してもローカル既定拒否は明示失敗へ寄せます。遠隔成果物のダウンロードとローカル走査を併用するエージェントでは 外向きプロキシ運用稿 を並行添付してください。
クリップボードやドラッグの人間工学はユーザ境界の別系譜に置きます。本稿は明示パスツールとペアリングに限定し、検索意図を鋭く保ちます。
運用チームが週次で行うべきは、許可表の差分を読み、ペアリングトークンの期限切れ予告をカレンダーへ載せ、監査行のサンプルを週報へ貼ることです。口頭の「たぶん大丈夫」を廃止し、数行の JSON で週を閉じます。リース Mac ではユーザ切替が頻繁なので、月一回は同一ユーザの VNC で Finder とターミナルのホームを突合する儀式をカレンダー化してください。儀式は面倒ですが、インシデント一晩分より安価です。
教育観点では、新メンバーへ「拒否は成功ではないが健全である」と最初に教えます。新人が許可表を広げすぎないよう、レビュー観点を三行テンプレへ落とし、プルリク本文へ貼らせます。テンプレは「読む根」「読まない根」「ロールバック手順」です。テンプレが空欄のままマージされた変更は却下します。運用の厳しさがセキュリティを運びます。
自動化では、PATH_DENIED をアラートへ昇格させる閾値を二段階にします。第一段は新規パターンの観測、第二段は同パターンの連続でページングです。単発は誤設定の可能性が高く、連続は攻撃や設定ドリフトの可能性が高いからです。いずれもシンボリックリンク逸脱は即ページングへ回します。逸脱は静かに増殖しないクラスだからです。
最後に、本稿の手順は書類上の受入を速くし、実機での再現性を高めます。リモート Mac を借りる意味は、オフィス床に置かない Apple Silicon を常時起動で使い、Gateway・ターミナル・監査を一つのデスクトップで揃えることにあります。オンプレの孤独なノードより、証拠の一貫性が上がります。
ClawHub 検証と semver 行列。
読む →資格情報スナップショットと exec cwd。
読む →HOME 分割と API キー。
読む →許可表レビューへリスクを前倒しし、曖昧な成功ではなく構造化エラーを監視へ渡すためです。
許可表は同一ホスト内の可視範囲を縛り、ペアリングはどの遠隔関係が同期してよいかをフィンガープリントとトークンで縛ります。
CLI と監査 tail は SSH で足りる局面もありますが、Gateway ツール面とドラッグ検証は同一ユーザの VNC 証拠が UI キャッシュ誤判定を潰します。
文字列上のプレフィックスは嘘をつき得ます。正規化済み実体パスをログへ残し、境界外へ抜ける経路を明示イベントへ昇格させます。
v2026.5.3 はファイルアクセスを読みやすくします。拒否ファースト、明示契約、横移動のペアリング、シンボリックリンク監査です。リース環境で同一ユーザ VNC の交差確認を抜くと、ツールの価値を上回る調整税を払い続けます。
自前 Mac でも減価償却と睡眠方針と帯域を背負います。Apple Silicon のリース遠隔 Mac はベンダー側の稼働率とベースイメージを活かしつつ、Gateway・ターミナル・監査を一セッションへ揃えられます。
同様の受入を遠隔 Mac で行うなら VNCMac:主ボタンは クラウド Mac 購入・契約ページ、接続手順は ヘルプセンター です。