디스크·셸에 프로덕션 기본값이 필요한 이유
무인 루프와 불신 콘텐츠에서 workspaceAccess는 명시 루트와 거부가 필요합니다. 셸은 환경을 물려받고, 읽기는 구조를 새고, 쓰기는 설정·의존성을 바꿔 재시작 뒤에도 남을 수 있습니다. 최소 권한은 Unix와 “누가 쓰는가” 정책입니다. 느슨한 JSON은 코드 리뷰·릴리스 게이트로 막습니다.
공유 빌드 호스트는 사용자·루트를 나누고 거부 경로·셸 빈도를 모니터링합니다. TLS는 역프록시 글. 큰 변경은 스냅샷·롤백으로 되돌릴 수 있게 합니다.
자주 겪는 문제
1 게이트웨이 사용자 권한 과다—.ssh·클라우드 캐시 읽기면 파일 도구가 키 유출 통로.
2 쓰기 가능 워크스페이스는 공급망 위험—조사용과 릴리스용 분리.
3 셸이 상위 의도 우회—파이프·curl 로그와 위험 명령 제한.
4 MCP와 네이티브 가시 범위 불일치—변경 후 콜드 재시작, MCP 글.
5 doctor 성공과 실제 드리프트—합성 프롬프트로 거부 확인.
위협 모델(쉬운 말)
사용자는 비밀을 붙여 넣고, 모델은 재시도에 해로운 행동을 시도하고, 에이전트는 불신 페이지를 읽습니다. 기밀·무결성·가용성을 한 표에 둡니다. 원격 입력과 로컬 동작은 연쇄하므로 SSRF 글과 디스크 정책은 같은 프로그램입니다. 전용 자동화 계정과 데몬 헬스로 재시작을 예측 가능하게 합니다.
작업 공간·명령 자세 매트릭스
| 자세 | 강점 | 운영 비용 | 오설정 시 | 적합 |
|---|---|---|---|---|
| workspaceAccess 루트 축소 | 파일 도구 폭발 반경 명확 | 디렉터리 이동 동기화 | 과도 제외로 빌드 실패 | 단일 저장소 |
| 읽기 전용 프로필 | 조사·트리아지 안전 | 릴리스용 별 프로필 | 쓰기 불만 | 지원 봇 |
| 환경별 OS 사용자 | 비밀 분리 최강 | 유닛·키 순환 증가 | 환경 드리프트 | 멀티 테넌트 |
| 셸 허용 목록 | 예상 밖 파이프 차단 | 도구 추가 시 목록 유지 | 인터프리터 우회 | 고위험 프로덕션 |
| 온보딩 샌드박스 완화 | 학습 빠름 | 폐기 절차 필수 | 프로덕션 오상향 | 일회성 학습기만 |
프로덕션 기본 행 하나, 샌드박스만 완화, 분기마다 민감 디렉터리 재검토.
절차와 예시
{
"workspaceAccess": {
"root": "/var/openclaw/work/crm-sync",
"allowReadGlobs": [
"/var/openclaw/work/crm-sync/**",
"/var/openclaw/shared/readme/**"
],
"denyGlobs": [
"**/.ssh/**",
"**/.aws/**",
"**/.config/gcloud/**",
"/var/openclaw/secrets/**"
]
},
"agents": {
"profiles": {
"readonly-triage": { "tools": { "shell": false, "fileWrite": false } },
"release-bot": { "tools": { "shell": "restricted", "fileWrite": true } }
}
}
}
키 이름은 배포판마다 다를 수 있음. 비밀은 환경 변수.
1~3 경로 목록·루트 축소·읽기 전용과 릴리스 분리. 4 콜드 재시작·openclaw doctor·게이트웨이 글 대조. 5~7 허용 읽기·거부·승인 쓰기 재생(로그 마스킹)·롤백 스냅샷·allowAgents로 병렬 제한.
정량 가드레일
셸 횟수·거부 경로·자식·FD·아티팩트 디스크·로그 보존(두 릴리스)·재시작 시간 SLO·분기별 비밀 패턴 스캔을 한 대시보드에.
온보딩·프로덕션·doctor 계단
호스트·루트·API 키 분리, 느슨한 JSON을 고객 프로덕션에 붙이지 않기. 교육은 상태→프로세스→doctor→로그 순. 권한 축소는 콜드 재시작 가능한 창에서. 셸·읽기 전용 경계를 HITL과 연결. 읽기 순서: 게이트웨이 doctor, 세션 allowAgents, MCP, 본문, SSRF, TLS, 롤백, 데몬.
읽기 순서: 상태→doctor→세션→MCP→워크스페이스→TLS.
용어
workspaceAccess 도구 가시 경로 선언. 최소 권한 필요한 최소 권리. 셸 도구 제어된 실행. 읽기 전용 프로필 쓰기·셸 차단. 콜드 재시작 자식 정리. doctor 정적 검사. allowAgents 세션 도구 한도. 세션 폭풍 병렬로 호출 증폭.
FAQ·호스팅 Mac
doctor 성공이 작업 공간 밖 비읽기 증명인가요
아니요. OS·별도 계정·감사·합성 테스트 필요.
온보딩과 프로덕션 동일 OS 사용자
비권장. 불가피 시 프로덕션에서 더 엄격한 workspaceAccess·별도 키.
MCP 최소 권한화
서버마다 경계, 변경 뒤 콜드 재시작, MCP 문서 참고.
요약: workspaceAccess·명령 범위는 프로덕션 보안 통제. 상태·doctor·로그 계단 유지. SFTPMAC 호스팅 원격 Mac은 게이트웨이+파일 이중 운영 부담을 줄입니다.
파일 전송과 상시 게이트웨이를 함께 가져가려면 SFTPMAC을 검토하세요.