2026OpenClaw本番SSRF

OpenClaw v2026.3.x 本番ゲートウェイ強化:OpenAI互換API、外向きメディア、Webhook、SSRF

OpenClaw 2026.3.x 本番では /v1/models/v1/embeddings など OpenAI互換HTTP がブリッジの横に 新しい公開面 を増やします。外向きメディアWebhookは認証を本文より前SSRF、設定バックアップ 0600、プラグインHTTPは ループバックdoctorの段階検証 を同じリリースで扱います。ゲートウェイ運用インストール更新とMCPハイブリッドクラウドFAQ と併読し、SFTPMACホスト型リモートMac でゲートウェイと成果物を同居させる選択も比較してください。

OpenClaw本番OpenAI互換WebhookSSRFリモートMac
1. 互換API公開後に起きがちな三つの誤読2. 脅威の四平面:互換HTTP・メディア・Webhook・プラグイン3. トークン、リバプロ、ループバックプローブ4. WebhookとSSRF:検証順とcurl例5. 外向きメディアと権限監査6. FAQ、段階チェック、ホスト型Mac
OpenClaw 本番ゲートウェイ OpenAI互換API セキュリティ強化

三つの誤読:最初にズレるところ

第一に、互換を「/v1全体を長寿命ベアラ一つで公開してよい」と誤解すること。 互換は プロトコルの便利さ であり認証ではありません。総当たりで埋め込み課金が先に膨らむことがあります。

第二に、JSONを先にパースしてから署名検証する順序。 巨大ボディでCPUとディスクを潰され、検証順の修正が安いです。

第三に、外向きをセキュリティだけの話にしスキルのサムネやPDF取得を忘れること。 MIMEを絞ると空応答に見えがちなので、ステージングで宛先を列挙します。

コンプライアンスでは互換APIもM2Mとして処理者とログ保持を文書化し、四半期ごとに互換トークン失効ドリルでバックオフを確認します。WAFルールのスクショをチケットに残し監査で意図を再現できるようにします。

四平面マトリクス:2026.3.xレビュー用

小規模チーム向けの目安です。脅威モデルに合わせて調整してください。

平面典型リスク主な統制合格基準
OpenAI互換HTTP無許可の推論・埋め込み専用トークン、任意mTLS、WAFパス匿名は401でスタックトレースなし
外向きメディアメタデータSSRFドメイン許可、RFC1918遮断、サイズと時間上限メタデータIPやfileスキームの負例
受信Webhookリプレイと巨大ボディ時刻窓、定時間比較、認証優先失敗は相関IDのみ、生秘密は残さない
プラグインと設定世界読み取りバックアップchmod 600、非ログインSA、SecretRefの層findで秘密にgroup/otherビットなし

複数平面を同時に変えるときは番号付きチェックリストを一つにし、オーナーとリハーサル日を紐づけます。

トークン、リバプロ、ループバックの位置づけ

公開バーチャルホストと管理リスナーをリバプロで分離し、互換プレフィックスとダッシュボードで別レート制限を掛けます。内部自動化は 127.0.0.1:18789 の軽いヘルスを継続し、外向きはTLS終端とボット対策の外側に置きます。

互換トークンは短周期で回し二重有効窓を文書化し、ハイブリッド のモデル許可と整合させます。

ログはルート系と主体種別、サイズ帯まで構造化し、匿名401と認証500を別アラートにします。秘密と面の対応表をIaC近くに置き、LBのボディ検査が全体バッファならエッジ検証を検討します。多地域はキーを分け、社内OpenAPI断片で実装済みフィールドだけ共有します。

WebhookとSSRF:ステージング用curlと順序

合成データのみ。ログ名は ゲートウェイ運用 に合わせ、層ごとの期待遅延を文書化します。

# 層0: プロセスとループバック
openclaw status
curl -sS -m 5 http://127.0.0.1:18789/health

# 層1: 匿名の互換プローブは閉じる
curl -sS -o /dev/null -w "%{http_code}\n" https://gw.example.com/v1/models

# 層2: 認可された互換(モデルは許可リスト)
curl -sS -H "Authorization: Bearer $OPENCLAW_COMPAT_TOKEN" https://gw.example.com/v1/models | head

# 層3: 署名なしWebhookは重い解析の前に拒否
curl -sS -o /dev/null -w "%{http_code}\n" -X POST https://gw.example.com/hooks/vendor -d '{}'

# 層4: SSRF負例(メタデータIP、file、リダイレクト)をチケットID付きで記録

ケースIDと期待コードのCSVを四半期ごとに再実行します。

外向きメディアとファイル権限の基準

単体あたり 10〜20MB を初期上限にし、例外はセキュリティ承認付きで。リクエストタイムアウトは 3〜8秒 程度にし、ユーザー体感のE2E予算も書きます。設定と夜間バックアップは chmod 600、サービスアカウント所有に限定します。プラグインHTTPはループバック拘束かメッシュ内mTLSにします。

大きな更新のたび 更新とMCP を繰り返し、スナップショット、doctor、プラグイン境界、SSRF再テストを入れます。外向き失敗率・Webhook拒否・互換401を可視化し、拒否急減は匿名開放の疑いも見ます。バックアップとコンテナマウントの権限、連鎖取得の合算タイムアウトも忘れずに。

FAQ、段階検証、ホスト型リモートMacが効くとき

互換トークンはTelegramボットトークンと同一でよい?

いいえ。別秘密、別ローテ、別ブラスト半径の文書化が必要です。

doctorは緑だがSSRFが不安

外向き結合テストとWAFログの週次サンプルを足します。doctorは形の検証であり実行時の全取得判断までは保証しません。

クラウドVMとリモートMac

Linux経路は クラウドFAQ を参照。AppleツールチェーンとSFTP成果物の同居が重要なら リモートMac を選びます。

まとめ: OpenClaw 3.x は高度なHTTPをデフォルトに近づけるため、認証・外向き・受信検証・ファイル衛生を同時に設計します。

限界: マトリクス維持には当番とインベントリが要ります。SFTPMAC リモートMac はゲートウェイと成果物配信を同一マシンに載せる選択肢です。

TCOにインシデントとドリフトコストを含め、互換乱用とWebhook拒否を可視化します。年次HTTPレビューと外向き許可の失効日を運用に組み込みます。

安定したApple硬件上でOpenClawゲートウェイとSFTP向け成果物パスをまとめたい場合は、SFTPMACのプランを検討してください。