Восьмишаговый runbook и таблица доказательств для удалённого Mac (VNC)
v2026.5.3 ужесточает поверхность файловой системы: file_fetch и dir_fetch по умолчанию запрещены, требуют явных префиксных allowlist, audit JSON с учётом symlink и профили pairing с отпечатками и ротируемыми токенами для контролируемой синхронизации между хостами. Если исправления LaunchAgent из v2026.5.3-beta.2 уже в проде, этот гайд — инкремент к контракту путей. Перекрёстно ссылайтесь на цепочку публикации плагинов 5.7, аудит SecretRef и изоляцию нескольких проектов, чтобы ИБ читала один тикет, а не четыре PDF.
Сетевые или планировочные изменения радуют движением дашбордов; политика файлов кажется скучной, пока комплаенс не попросит доказать, что агенты не касались SSH-ключей клиентов. v2026.5.3 поэтому трактует файловые инструменты как границу безопасности, а не обёртку удобства. Ниже — список для дежурных, которым нужно объяснить, почему отказ здоровее тихого успеха, и для партнёров ИБ, которым нужны канонические пути в JSON, а не только скриншоты.
Арендованные удалённые Mac часто смешивают учётки автоматизации и ручного сбоя. Несовпадение пользователя — это не вопрос «распарсился ли файл», а вопрос совпадения UID процесса Gateway и HOME, который загрузил LaunchAgent; иначе вы охотитесь за фантомами.
Отказ по умолчанию: вне подписанной allowlist — структурированные ошибки для мониторинга, без расплывчатых зависаний.
Потолки каталогов: dir_fetch требует явных глубины и кардинальности, чтобы перечисление не стало IO-DoS.
Аудит symlink: канонические цели должны попадать в строки аудита; обходы поднимаются отдельными событиями, а не тихим следованием.
Pairing: межхостовые профили связывают отпечатки и ротируемые токены; копирование конфигурации не продлевает доверие молча.
Связка SecretRef: разрешённые корни workspace должны совпадать с рабочими каталогами exec для снимков учётных данных.
Дрейф удалённой идентичности: правки по SSH и VNC под другим пользователем порождают ложные misconfig; нужна перекрёстная проверка VNC тем же пользователем.
Матрица намеренно узкая: какие классы доказательств требуют графической сессии, а какие остаются текстом. Поставщики оптимизируют SSH-first, но операторам OpenClaw часто нужны локальные браузерные доказательства при спорах о панелях инструментов и целях drag-and-drop.
| Сценарий | Только SSH | SSH + VNC того же пользователя | Pairing добавляет |
|---|---|---|---|
| Правка allowlist JSON и перезагрузка | достаточно | рекомендуется для кэша UI | не требуется |
| Проверка UX отказа Gateway | легко пропустить | рекомендуется | не требуется |
| Тянуть CI-артефакты между арендованными хостами | скриптуемо | сверить цели drag и cwd | обязательно отпечатки + токен |
| Изоляция нескольких проектов | umask и разделение HOME | здравый корень Finder | отдельный профиль pairing на проект |
| Экспорт аудита для комплаенса | grep файлов аудита | короткая запись отказов | прикрепить ID удалённых узлов |
Баги файловой системы редко выглядят как падения; чаще это тихие чтения, которые находят недели спустя.
Заморозка и снимок: экспортируйте OPENCLAW_HOME, зафиксируйте openclaw --version, ID аренды и архивируйте текущую allowlist JSON байт-в-байт.
Апгрейд и doctor: читайте заметки 5.3 про отказ по умолчанию; при прыжке с 5.2 сверяйтесь с ломающей миграцией v2026.4.5.
Минимальная allowlist: только корни CI-артефактов, один префикс monorepo и явные манифесты; никогда не начинайте с целого HOME под давлением сроков.
Ограничить dir_fetch: лимиты глубины, лимиты записей, фильтры расширений; явно исключайте node_modules и производные кэши.
Профили pairing: обмен отпечатками, границы read-only vs read-write, отдельная ротация токенов; не делите профиль между несвязанными monorepo без документированной блокировки.
Дымовой тест Gateway: разрешённые и запрещённые пути в одноразовой сессии; сверьте UI, коды выхода CLI и строки audit JSON.
Согласовать с установками 5.7: если ClawHub добавляет файловые плагины, держите semver-матрицу по статье о публикации, чтобы не смешивать политики default-deny.
Доказательства отката: приложите примеры deny/allow/symlink-escape и строки PAIRING_OK, ссылайтесь на пошаговый откат staging.
openclaw --version openclaw doctor openclaw tools list | rg -n "file_fetch|dir_fetch" openclaw audit tail --since 15m | rg -n "PATH_DENIED|SYMLINK_ESCAPE|PAIRING"
Имена команд должны совпадать с установленной CLI; таблицы миграций из release notes важнее сниппетов из соцсетей.
| Проверка | Доказательство VNC | Доказательство SSH | Успех |
|---|---|---|---|
| UX отказа инструмента | 10 с запись с путём | JSON PATH_DENIED | совпадает с кодом |
| Разрешённое чтение | перетащить образец файла | канонический путь внутри префикса | нет выхода за префикс |
| Проба symlink | создать ссылку вне префикса | SYMLINK_ESCAPE или эквивалент | нет тихого следования |
| Рукопожатие pairing | опционально удалённая консоль OK | PAIRING_OK с отпечатком | политика одноразового токена |
| Согласованность версий | футер Gateway | openclaw --version | совпадает с матрицей 5.3 |
Таблица предполагает, что Gateway и терминал открыты рядом. Новичкам на арендованных Mac сначала пройдите первичный чеклист.
При записи отказов проговаривайте номер тикета на аудиодорожке, чтобы не перепутать доказательства.
Если параллельно проверяете v2026.5.6 fetch и таймауты Gateway, разделяйте сетевые и локальные пакеты доказательств.
v2026.5.3 переносит файловую поверхность с неявного доверия к явным контрактам. Инструменты file_fetch и dir_fetch по умолчанию запрещены, требуют префиксных allowlist, испускают структурированные события аудита с каноническими путями и вводят профили pairing для синхронизации артефактов между машинами. После beta.2 вы доказываете не только запуск демонов, но и невозможность читать чувствительные каталоги вне контракта.
Целевой сбой тонок: процессы редко падают из-за неверного пути; они тихо читают, кэшируют контекст и отдают правдоподобные ответы вниз по цепочке. Отказ по умолчанию превращает первое неожиданное чтение в детерминированную ошибку PATH_DENIED, которую автоматизация классифицирует, а люди видят ясный текст в Gateway.
Узлы pairing нужны потому, что локальные allowlist не выражают межхостовое доверие: копия конфигурации на другой арендованный Mac не должна молча наследовать те же привилегии. Pairing привязывает профили к отпечаткам и ротируемым токенам, требуя церемонию вместо копирования файла.
Symlink заслуживают отдельную полосу аудита: литеральный путь может оставаться внутри разрешённого префикса, пока каноническая цель уходит на другой том или чужой HOME. Заметки 5.3 требуют логировать разрешённый путь и поднимать событие обхода, если разрешение пересекает границу контракта.
Аренда удалённых Mac усиливает путаницу идентичностей: администрирование по SSH и отладка в браузере под другим пользователем macOS. Файловые инструменты кэшируют политику на пользователя Gateway; если правки SSH попали в один HOME, а демон работает из другого, вы гоняетесь за призраками.
Перечисление каталогов требует числовых ограждений помимо префиксов: наивная рекурсия может расплавить CPU и кэш inode на огромных деревьях node_modules даже при технически разрешённом корне. Настройте maxDepth, лимиты на каталог, фильтры расширений и явные исключения для кэшей сборки; ревьюйте это независимо от ротации токенов pairing.
Выравнивание SecretRef важно, хотя файловые инструменты не расшифровывают секреты: расхождение корня allowlist и cwd exec для снимков SecretRef даёт ложноотрицательные сценарии «файл читается, а рантайм падает».
При параллельной проверке патчей fetch 5.6 или таймаутов Gateway разделяйте пакеты доказательств: сеть и локальные отказы дают похожие задержки, но разный triage.
Операционный ритм повторяет цепочку публикации 5.7: semver-доказательства после установок, JSON для мониторинга, артефакты отката с diff. Файловые инструменты добавляют пробы канонических путей и отпечатки pairing.
Для корпоративных сетей прикладывайте runbook исходящего прокси, когда агент совмещает загрузки и локальные сканирования.
Буфер обмена и drag-and-drop остаются другой серией статей; этот гайд строго про явные путевые инструменты и pairing.
Политика доступа к файлам — это не косметика дашборда, а юридически значимый контракт между эксплуатацией, разработкой и ИБ: каждая успешная операция чтения в тикете должна сопровождаться строкой audit JSON с каноническим путём и semver инструмента, иначе разборы инцидентов спутают сеть и локальную детерминированную причину.
На арендованных Mac часто смешивают интерактивные SSH-аккаунты и демоны Gateway: вы правите policy в одном HOME, а launchd поднял другой. VNC под пользователем сервиса выравнивает Finder, терминал и Gateway на одну истину путей и экономит часы форензики.
Профили pairing нужно версионировать отдельно от долгоживущих API-ключей: общий идентификатор профиля для двух monorepo неявно дарит симметрию чтения-записи, которую никто не утверждал. Документируйте отпечатки хостов, ротацию токенов и корни, куда разрешена запись; гайды по мультипроектной изоляции помогают держать HOME-разделение консистентным.
Проверки symlink обязаны входить в регрессию каждого релиза, а не только в годовой пентест: литеральный путь может оставаться внутри префикса, пока каноническая цель уходит за пределы. Конвейер аудита обязан материализовать разрешённую цель и поднимать обход как отдельный класс событий; фильтрация только по текстовым префиксам систематически недооценивает этот класс.
dir_fetch требует жёстких числовых потолков: максимальная глубина, лимит записей на каталог, фильтры расширений и явные исключения для кэшей сборки. Не смешивайте эти параметры в один пятничный чендж с ротацией токенов pairing — это разные поверхности риска для комитета изменений.
Интерфейс Gateway и CLI должны сходиться в текстах отказа: расхождения намекают на смешанные версии или расходящиеся кэши. В кластерах арендованных Mac canary-узел может обогнать прод; держите semver-матрицу как в статье о публикации плагинов и связывайте её с версиями файловых инструментов.
Исходящие прокси остаются ортогональны, но критичны, когда агент совмещает удалённые загрузки и локальное сканирование. Разделяйте доказательства: сетевые трассировки, журналы прокси и локальные строки аудита в разных вложениях — так MTTR падает, потому что ревьюер сразу знает, какую гипотезу проверять.
Планы отката должны содержать байты, а не намерения: экспортируйте allowlist до апгрейда, сохраняйте хэши plist и ссылайтесь на staging-rollback гайд. В кризис команда должна восстановить предыдущее состояние за минуты, а не из чатов.
После апгрейда doctor должен явно перечислить файловые инструменты и сигнализировать, если где-то ещё ждут permissive defaults. Ломающие изменения 4.5 могут тихо сосуществовать; прикладывайте миграционные статьи и этот гайд в один CAB-тикет.
VNC-доказательства должны быть короткими: десять секунд с видимым путём и номером тикета в аудиодорожке или оверлее. Длинные записи теряют трассируемость. Используйте таблицу из раздела пять как сценарий, чтобы новые операторы не импровизировали.
Токены pairing должны быть короткоживущими и крутиться отдельно от долгих API-ключей: компрометация ограничивает blast radius профилем, если отпечатки закреплены. Документируйте выпуск и отзыв токенов, иначе начнётся неформальный обмен в мессенджерах.
Выравнивание SecretRef требует, чтобы рабочий каталог exec совпадал с разрешёнными корнями: иначе файлы выглядят читаемыми, а снимки секретов на рантайме дают ложноотрицательные результаты.
Производительность — часть безопасности: неограниченный dir_fetch может расплавить IO и навредить соседним сервисам на том же арендованном Mac. Добавьте батч-окна или rate limit для больших инвентаризаций и коррелируйте CPU с событиями аудита.
Обучите поддержку не классифицировать PATH_DENIED автоматически как баг: часто это ожидаемое поведение, указывающее на слишком широкую allowlist. Короткий плейбук снижает лишние эскалации.
С таймаутами Gateway 5.6 проектируйте раздельные тесты: сетевые таймауты отдельно от локальных отказов, чтобы очистка диспетчера не маскировалась под файловую проблему. Используйте разные correlation id для параллельных прогонов.
На горизонте экспортируйте метрики частоты отказов, symlink-обходов и рукопожатий pairing по хостам: тренды показывают дрейф раньше отдельных историй. Привяжите дашборды к временной шкале релизов.
Наконец, человеческий фактор: четыре глаза на изменения allowlist отдельно от обычного код-ревью. Файл маленький — эффект огромен; второй ревьюер, смотрящий только семантику путей, ловит типичные copy-paste между похожими каталогами.
Еженедельно читайте diff allowlist и календарь истечения токенов. Устные обещания не заменяют строки JSON. На арендованных Mac раз в месяц сверяйте HOME в Finder и терминале под пользователем демона — дёшево против ночных инцидентов.
Автоматизация должна эскалировать PATH_DENIED в два этапа: наблюдение уникальных паттернов, затем пейджинг при повторении. Symlink-обходы пейджьте сразу: они критичны даже без линейного роста.
Стратегическая ценность арендованного удалённого Mac — держать Apple Silicon готовым и сводить Gateway, терминал и аудит в одной графической сессии; это труднее воспроизвести с ноутбуков только по SSH.
Дополнительно фиксируйте в runbook, кто имеет право перезапускать Gateway и кто хранит логи doctor: на мультиарендных узлах это дешевле, чем спорить о версиях в чате после инцидента.
Если вы добавляете плагины, которые сами читают файлы, проверьте, что их semver и политика default-deny согласованы с матрицей 5.7; иначе получите смешанные ответы PATH_DENIED на соседних хостах без явной причины.
Для корпоративных сетей прикладывайте runbook исходящего прокси всякий раз, когда агент совмещает загрузки артефактов и локальные сканирования рабочей области — иначе сетевые 403 будут выглядеть как файловые отказы.
Не путайте буфер обмена и drag-and-drop с этим гайдом: здесь только явные путевые инструменты и pairing, чтобы поисковый интент оставался чётким.
Напоминание для финансовых команд: стоимость инцидента из-за неверной allowlist обычно превышает стоимость аренды узла на квартал; аргументируйте бюджет VNC-доказательствами из таблицы раздела пять, а не общими словами про риск.
Если вы уже прошли doctor после 5.6, сохраните отдельный архив логов fetch и gateway-timeout, чтобы не смешивать их с файловыми отказами при разборе регрессий следующего окна.
Проверка ClawHub и semver-матрица.
Читать →Снимки учётных данных против cwd exec.
Читать →Разделение HOME и API-ключи.
Читать →Это переносит риск на ревью allowlist и возвращает структурированные ошибки для мониторинга вместо тихих широких чтений.
Allowlist ограничивает видимость на одном хосте; pairing ограничивает, какое удалённое отношение может синхронизироваться, с отпечатками и токенами.
CLI и хвосты аудита работают по SSH; панели Gateway и drag-and-drop проверки требуют VNC того же пользователя, чтобы убрать ложноотрицательные кэши UI.
Литеральные префиксы могут врать; нужно логировать канонические цели, чтобы обходы не прятались в безобидных путях.
v2026.5.3 делает доступ к файлам читаемым: отказ в первую очередь, явные контракты, pairing для латерального движения и аудит symlink. Без перекрёстной проверки VNC тем же пользователем на арендованных хостах вы платите координационный налог выше ценности инструментов.
Собственный Mac всё ещё несёт амортизацию, политики сна и канал офиса. Арендованный удалённый Apple Silicon держит аптайм и базовые образы у провайдера, оставляя вам контроль конфигурации и сводку Gateway, терминала и аудита в одной сессии.
Чтобы повторить такую приёмку на удалённом Mac, используйте VNCMac: основная кнопка ведёт на страницу покупки Mac в облаке; подключение описано в центре помощи.