Warum Platte und Shell erwachsene Defaults brauchen
Interaktive Demos belohnen weite Rechte, weil Menschen Fehler vor dem Vorfall bemerken. Produktionsagenten laufen unbeaufsichtigt, wiederholen Tool-Aufrufe und interpretieren Anweisungen gelegentlich kreativ. Kann der POSIX-Benutzer hinter dem Gateway Geheimnisse lesen, Repos mutieren oder Shells ohne enge Arbeitsverzeichnisse starten, haben Sie root-ähnliche Agilität an einen stochastischen Prozess delegiert.
workspaceAccess ist die deklarative Geschichte, welche Verzeichnisbäume legitimer Kontext sind und welches Dateisystemrauschen ignoriert werden muss. Es soll Layout, Build-Ausgaben und Pfade widerspiegeln, die nie in Tool-Antworten erscheinen dürfen. Behandeln Sie es wie Firewallregeln: explizite Erlaubnisse mit dokumentierten Ausnahmen, kein stillschweigendes Allow auf $HOME.
Shell-Werkzeuge potenzieren Risiko, weil sie Umgebungsvariablen, Aliase und manchmal Pfade aus Login-Skripten erben. Schon Nur-Lese-Dateiwerkzeuge können Struktur leaken, die Prompt-Ketten erleichtert. Schreibfähige Werkzeuge können Konfiguration überschreiben, die das Gateway beim nächsten Start lädt, sodass eine fehlerhafte Automation zum dauerhaften Kompromiss wird.
Least Privilege ist nicht nur Unix-Rechte. Es ist Modellpolitik: welche Automationen mutierende Werkzeuge rufen dürfen, welche Nur-Lese bleiben müssen und welche menschliche Bestätigung brauchen. Der Human-in-the-Loop- und Lobster-Artikel passt, wenn strukturierte Freigaben statt stiller Shell nötig sind.
Betriebsteams kennen wiederholbare Diagnostik. Wenn Rechte driften, wirkt es wie flatternde Kanäle oder rätselhafte Datei-nicht-gefunden-Fehler. Die Leiter Gateway-Status, doctor, Logs hält Sicherheitsvorfälle im bekannten Playbook statt panikspezifischer Wikis.
Konfiguration wandert: Ein Laptop mit großzügigem workspaceAccess wird Vorlage für CI und dann Kundengateway. Kodieren Sie Produktionshaltung in versionierter Config, reviewen Sie wie Anwendungscode und testen Sie Downgrades mit Rollback-Gewohnheiten aus Installations- und Rollback-Leitfäden.
Multi-Tenant- oder geteilte Build-Hosts verstärken Fehler: Ein Agentenarbeitsbereich, der fremde Artefakte sieht, ist ein Vertraulichkeitsvorfall auf den falschen Prompt wartend. Trennen Sie Benutzer, Roots oder Maschinen. Dokumentieren Sie Grenzen im Onboarding, damit neue Kolleginnen sie nicht aus Bequemlichkeit aufweichen.
Quantitatives Monitoring zählt wie Deklarationen. Zählen Sie verweigerte Pfade, Shell-Aufrufe pro Stunde und unterschiedliche Dateien pro Session. Spitzen kommen oft vor Laufautomatisierungen oder Prompt-Injection, die über Dateilesen exfiltrieren wollen.
Reverse-Proxy und TLS-Kante ersetzen keine Dateisystempolitik, formen aber Vertrauen in ferne Steuerungsebenen. Halten Sie TLS- und Origin-Regeln mit Reverse-Proxy-Leitfaden konsistent, damit Admin-Oberflächen nicht versehentlich offen liegen, während Sie lokale Platte straffen.
Schmerzpunkte
Schmerz 1: Der Gateway-Benutzer besitzt zu viel. Kann das Dienstkonto .ssh, Cloud-CLI-Caches oder Browserprofile lesen, wird jedes Dateiwerkzeug zum Geheimnis-Exfiltrationskanal. Verkleinern Sie das Konto, bevor Sie über Modellausrichtung diskutieren.
Schmerz 2: Beschreibbarer Workspace ist Lieferkettenrisiko. Agenten, die package.json, Shellprofile oder Gateway-Konfiguration patchen, können Schaden über Neustarts hinweg halten. Trennen Sie Nur-Lese-Forschungsagenten von Release-Agenten mit klaren Promotionsschritten.
Schmerz 3: Shell-Werkzeuge umgehen höhere Absicht. Eine Shell kann Hilfsprogramme verketten, die das Produktteam nie gesehen hat. Loggen Sie argv-Schnipsel, Arbeitsverzeichnisse und Exit-Codes; blockieren Sie rekursive Deletes und beliebiges curl-in-Datei, sofern die Policy es nicht erlaubt.
Schmerz 4: MCP und native Werkzeuge streiten über Umfang. Ein MCP-Server mit breiter Umgebung erreicht Pfade, die OpenClaw-Dateiwerkzeuge verbergen. Richten Sie Lebenszyklus und Neustart an MCP-stdio- und Transportgrenzen aus, damit Rechteänderungen greifen.
Schmerz 5: doctor ist grün, die Realität fault. doctor prüft Dateien und bekannte Checks, nicht jeden Laufzeit-Syscall. Ergänzen Sie manuelle Stichproben, auditd- oder Endpoint-Logs und periodische Prompts mit verbotenen Lesevorgängen.
Bedrohungsmodell in einfacher Sprache
Unterstellen Sie manipulierte Prompts durch nicht vertrauenswürdige Inhalte aus Web oder Uploads. Unterstellen Sie, dass Modelle unter Retry-Druck gelegentlich schädliche Anweisungen befolgen. Unterstellen Sie, dass Operatoren Geheimnisse in Chats einfügen. Ihre Kontrollen müssen diese Defaults überleben.
Dateisystembedrohungen teilen sich in Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bricht, wenn Agenten Credentials oder Kundendaten außerhalb ihres Tickets lesen. Integrität bricht bei Rewrites von Code oder Konfiguration. Verfügbarkeit bricht bei Fork-Bombs, voller Platte oder gelöschten Artefakten durch Shell.
Netzwerkgateways fügen eine Klasse hinzu: Wer den Steuerkanal erreicht, kann Tool-Aufrufe remote erzwingen. Deshalb gehört Eingangshärtung in SSRF- und Webhook-Produktionsartikeln zum selben Programm wie Plattenlimits. Angriffsketten verbinden oft Remote-Input mit lokaler Aktion.
Insider und kompromittierte Laptops gehören dazu. Least Privilege begrenzt Blast-Radius bei geleakten Entwicklerschlüsseln und verkürzt Forensik, weil weniger Konten sensible Bäume mutieren dürfen.
Automatisierungsidentität soll langweilig sein: dedizierter Benutzer ohne interaktives Login, ohne Passwortauth, Schlüssel nur aus erwarteten Netzen. Auf macOS-Gateways kombinieren Sie das mit Daemon-Mustern aus launchd- und systemd-Matrizen, damit Neustarts sauber sind ohne Rechte „vorübergehend“ zu weiten.
Denken Sie an Lieferkettenabhängigkeiten: Agenten, die Paketinstallationen ausführen, können Schadskripte ziehen. Erlauben Sie Installation nur in flüchtigen Umgebungen oder dedizierten Build-Hosts, nicht auf dem Knoten mit Signierschlüsseln.
Entscheidungsmatrix für Workspace- und Befehlshaltung
| Haltung | Stärke | Betriebskosten | Risiko bei Fehlkonfiguration | Ideal für |
|---|---|---|---|---|
| Schmaler workspaceAccess-Root | Klarer Blast-Radius für Dateiwerkzeuge | Pfade bei Repo-Umzug refaktorisieren | Build bricht, wenn Ausschlüsse Header verstecken | Single-Repo-Automation |
| Nur-Lese-Toolprofil | Sichere Forschungs- und Triage-Agenten | Zweites Profil für Releases | Reibung bei erwarteten Schreibvorgängen | Support-Assistenten |
| Getrennte Gateway-Benutzer je Umgebung | Starke Geheimnis-Isolation | Mehr Einheiten und Schlüsselrotation | Konfig-Drift zwischen Umgebungen | Regulierte oder Multi-Tenant-Teams |
| Shell-Allowlist oder Wrapper | Blockt Überraschungspipelines | Liste bei Tool-Evolution pflegen | Fehlnegative über Interpreter-Umgehung | Hochrisiko-Produktionscluster |
| Großzügige Onboarding-Sandbox | Schnelle Iteration für Neue | Muss bewusst abgeschaltet werden | Versehentliche Prod-Promotion | Nur Lernhosts in Woche eins |
Wählen Sie eine Standardzeile für Produktion, erlauben Sie lockerere Zeilen nur auf Wegwerfhosts und planen Sie vierteljährliche Reviews, weil Repositories neue sensible Ordner wachsen lassen.
Vorgehen: Grenzen deklarieren und validieren
{
"workspaceAccess": {
"root": "/var/openclaw/work/crm-sync",
"allowReadGlobs": [
"/var/openclaw/work/crm-sync/**",
"/var/openclaw/shared/readme/**"
],
"denyGlobs": [
"**/.ssh/**",
"**/.aws/**",
"**/.config/gcloud/**",
"/var/openclaw/secrets/**"
]
},
"agents": {
"profiles": {
"readonly-triage": { "tools": { "shell": false, "fileWrite": false } },
"release-bot": { "tools": { "shell": "restricted", "fileWrite": true } }
}
}
}
Feldnamen variieren je Distribution; behandeln Sie das JSON als Strukturhinweis. Geheimnisse gehören in Umgebungsvariablen oder einen Vault, nicht inline in Dateien, die Agenten lesen.
Schritt 1 mappen Sie alle Pfade, die Playbooks berühren, inklusive Caches, Test-Fixtures und generierter Verzeichnisse. Schritt 2 setzen Sie workspaceAccess auf die kleinste Root, die noch baut. Schritt 3 teilen Sie Profile, sodass nur Release-Automation schreiben oder Shell nutzen darf. Schritt 4 kalt neu starten, dann openclaw doctor und mit Kanalchecks aus Gateway-Betrieb vergleichen. Schritt 5 skriptgestützt drei Tests: erlaubtes Lesen, verweigertes Lesen, genehmigtes Schreiben, Logs mit redigierten Argumenten. Schritt 6 Owner und Rollback per Snapshot aus Installationsleitfäden dokumentieren. Schritt 7 Session-Spawn-Limits mit Sessions und allowAgents abstimmen, damit Parallelität Shell-Werkzeuge nicht unerwartet multipliziert.
Quantitative Leitplanken
Verfolgen Sie Shell-Aufrufe pro Automation und Stunde und setzen Sie Schwellen passend zu Geschäftszeiten. Plötzliches Verdoppeln deutet oft auf Runaway-Loop oder Prompt-Angriff.
Messen Sie verweigerte Pfadversuche getrennt von generischen Tool-Fehlern. Eine stabile Deny-Baseline ist gesund; Spitzen verdienen Untersuchung auch ohne Nutzerbeschwerden.
Dateideskriptor- und Kindprozesszahlen gehören auf dasselbe Dashboard wie CPU und RAM. MCP- oder Shell-Leaks zeigen sich dort, bevor Kanäle träge wirken.
Überwachen Sie freien Speicher auf Artefakt-Volumes. Agenten, die große Datensätze ziehen, können Partitionen füllen; kombinieren Sie Quotas mit separaten Volumes für Build-Outputs.
Log-Aufbewahrung soll mindestens zwei Release-Zyklen abdecken, um zu klären, ob ein schlechtes Deploy mit neuen Tool-Rechten koinzidierte. Rotationsrichtlinien an einheitliche Logging-Artikel für SFTP und Gateway-Hosts angleichen.
Definieren Sie SLOs für Gateway-Neustartdauer nach Rechteänderungen. Langsame Neustarts werden gemieden und Drift wächst. Daemon-Gesundheitsmatrizen halten Zeiten planbar.
Überprüfen Sie vierteljährlich effektive Rechte mit einem Skript, das weltlesbare Dateien unter der Workspace-Root mit Mustern wie BEGIN PRIVATE KEY listet. Automation findet menschlich übersehene Fehler.
Erfassen Sie p95-Latenz für Tool-Aufrufe; steiler Anstieg kann auf übermäßige Verzeichniswalks nach zu breiten Globmustern hindeuten. Straffen Sie Muster, wenn Metriken den Aufwand rechtfertigen.
Onboarding vs. Produktion und die doctor-Leiter
Onboarding darf schnell anfühlen, Produktion soll langweilig sein. Nutzen Sie verschiedene Hosts oder Container, verschiedene workspaceAccess-Roots und verschiedene API-Schlüssel. Kopieren Sie niemals großzügiges Laptop-JSON in ein Kundengateway „nur für die Demo“.
Lehren Sie neue Engineer dieselbe Diagnoseleiter wie den Betrieb: Gateway-Status, Prozessgesundheit, openclaw doctor, strukturierte Logs. Das spiegelt offizielle Fehlersuche, ohne jede Sicherheitsänderung zum Rätsel zu machen.
Straffen Sie Rechte in einem Fenster mit sauberem Neustart. Teilweise angewendete Änderungen teilen denselben Fehlermodus wie MCP-Transporte; kalt neu starten, um Zombie-Toolserver zu vermeiden.
Dokumentieren Sie, welche Automationen Shell versus Nur-Datei rufen dürfen. Speichern Sie die Matrix neben Incident-Runbooks, damit On-Call nicht rät.
Empfohlene Lesereihenfolge: Gateway-Betrieb und doctor, dann Sessions und allowAgents, dann MCP-Lebenszyklus, dann dieser Least-Privilege-Artikel, dann SSRF-Produktionshärtung und Reverse-Proxy-TLS. Konsistenz schlägt Neuerung im Vorfall.
Koppeln Sie technische mit organisatorischen Kontrollen: Code-Review für JSON, zweiter Pflicht-Reviewer für Shell-Profile, periodische Tabletops mit bösartigem Prompt.
Empfohlene Lesereihenfolge: Gateway-Status und doctor, Session-Spawn-Limits, MCP-Transporte, Workspace-Härtung, ausgehendes SSRF-Denken, TLS-Kante, Installations-Rollback, Daemon-Gesundheit. Identische Lesezeichen in Regionen, damit verteilte Teams dieselbe Sprache sprechen.
Glossar
workspaceAccess deklariert, welche Dateisystemregionen Tool-Aufrufe für eine Gateway-Instanz in-scope sind.
Least privilege gewährt nur die Mindestrechte für eine definierte Automatisierung.
Shell-Werkzeug exponiert Betriebssystembefehle kontrolliert an das Modell.
Datei-Werkzeug liest oder schreibt strukturierten Inhalt ohne zwingend Shell.
Nur-Lese-Profil erlaubt Inspektion ohne Mutation, ideal für Triage-Bots.
Release-Profil darf unter klarer Policy Build-Outputs schreiben oder Commits mergen.
Kaltneustart stoppt das Gateway vollständig, leert Caches und Kindprozesse.
openclaw doctor führt statische Checks gegen Konfiguration und Umgebung aus.
Gateway-Status fasst Prozessgesundheit, Kanäle und manchmal Versionsdrift zusammen.
allowAgents begrenzt Agententypen oder Profile bei häufigem Session-Spawn.
MCP-Server erweitert Werkzeuge per separatem Prozess oder HTTP-Transport mit eigenen Rechten.
Prompt injection ist nicht vertrauenswürdiger Text, der Operatorabsicht überschreiben will.
Blast radius beschreibt, wie weit ein Kompromiss auf Dateisysteme und Identitäten reicht.
POSIX-Benutzer ist das OS-Konto, von dem Tool-Aufrufe Rechte erben.
Deny-Glob blockiert Pfade auch unter erlaubten Bäumen.
Audit-Log zeichnet Tool-Entscheidungen mit redigierten Argumenten für Security-Review.
Onboarding-Haltung lockert temporär Kontrollen auf Wegwerfhosts.
Produktionshaltung erhöht Reibung für gefährliche Operationen bei erhaltener Durchsatzfähigkeit für genehmigte Aufgaben.
Human-in-the-loop verlangt menschliche Freigabe sensibler Tool-Aufrufe.
Supply chain umfasst Abhängigkeiten aus Builds oder Laufzeitinstallationen.
Ephemere Umgebung ist kurzlebig und endet mit dem Job.
Session-Spawn-Sturm entsteht, wenn Automation oder Bugs zu viele parallele Agenten erzeugen.
Tool-argv listet Shell-Argumente und sollte vorsichtig geloggt werden.
Arbeitsverzeichnis verankert relative Pfade für Shell und Datei.
Konfigurationsdrift ist stille Abweichung zwischen dokumentierter Policy und laufendem JSON.
Rollback-Snapshot sichert bekannte gute Konfiguration vor riskanten Edits.
Gehosteter Remote-Mac ist verwaltete Apple-Hardware für Gateways und Artefakt-Lieferung per SFTP-Mustern.
FAQ und Remote-Mac-Brücke
Beweist doctor, dass das Modell den Workspace nicht verlassen kann?
Nein. doctor hilft bei Fehlkonfiguration; OS-Rechte, getrennte Konten und Monitoring bleiben wichtig. Nutzen Sie synthetische Prompts mit verbotenen Lesevorgängen und prüfen Sie Verweigerungen in Logs.
Sollen Onboarding und Produktion einen Gateway-Benutzer teilen?
Vermeiden Sie das. Falls unmöglich, isolieren Sie Profile, Schlüssel und Roots und nutzen Sie keine Produktionsgeheimnisse auf Lernhosts.
Wo stehen MCP-Server in Least Privilege?
Jeder Server ist eigene Vertrauensgrenze. Nach Transport- oder Rechteänderung neu starten und MCP-stdio-Leitfaden lesen, um Lecks zu vermeiden.
Zusammenfassung: Behandeln Sie workspaceAccess und Shell-Umfang als Produktionssicherheitskontrollen. Schichten Sie Gateway-Status, openclaw doctor und strukturierte Logs wie bei Kanal-Fehlersuche.
Grenzen: Selbstgehostete Gateways kombinieren Modell- und OS-Risiko. SFTPMAC gehosteter Remote-Mac bietet verwaltetes Apple-Knotenmuster, das zu disziplinierten OpenClaw-Gateways und stabiler Artefakt-Lieferung passt.
Kommunizieren Sie beim Straffen der Lesereihenfolge in alle Regionen, damit Vorfälle nicht in inkompatible Playbooks zerfallen.
Prüfen Sie SFTPMAC, wenn Sie eine Remote-Mac-Plattform wollen, die Produktionsgrenzen respektiert und Gateway sowie Dateitransfer planbar hält.