2026-05-07 OpenClaw Dateitransfer-Plugin: Pfadrichtlinien, Byte-Obergrenzen und headless gemieteter Cloud-Mac (HK / JP / KR / SG / US)

OpenClaw 2026.5.x verschlankt den Gateway-Hotpath und liefert das gebündelte Dateitransfer-Plugin. file_fetch / dir_list / dir_fetch / file_write werden binärsicher exponiert, kombiniert mit einer Default-Deny-Pfadrichtlinie und einer Obergrenze von etwa 16 MB pro Vorgang. Auf einem gemieteten Mac mini M4 in HK/JP/KR/SG/US ist oft CI-Nachbarschaft das Problem, nicht NVMe: OpenClaw, Xcode-Checkout, Signing und Scratch teilen denselben Automation-User. Dieser Leitfaden 2026-05-07 fixiert den Betriebsvertrag: erlaubte Wurzeln, launchd-Arbeitsverzeichnis, Korrelation von Verweigerungen mit strukturiertem Logging, Rückfall auf ripgrep-first Chunking, plus TCC / Dateizugriff. Auch wenn das Modell „nur eine Datei“ will, bleiben Datenschutzgrenzen bestehen.

Das Plugin ist eine Datenebene: neue Erlaubniszeilen brauchen dieselbe Review wie Firewall-Regeln. Semver-Pinning und Tarball-Rollback: Gateway-Upgrade und Rollback; bei Dual-Gateway dieselbe Dateipolitik auf beiden OPENCLAW_STATE_DIR ausrollen.

Warum sich das Bedrohungsmodell ändert

Generisches Dateilesen ist anfällig für Prompt-Injection und Symlinks; Default-Deny wird zu reviewbarem Git-Config.

Kontext 2026.5.x

Lazy Load hilft Kaltstart, verengt aber auch das Fenster für Konfigurationsdrift. Semver fixieren, npm ls --depth=0 archivieren, Rollback üben.

Default-Deny für geteilte Builder

Zero Trust: nur CI-Checkout, explizites OPENCLAW_STATE_DIR, lebenszyklusgebundenes NVMe-Scratch. ~/.ssh und Schlüsselbund werden in Policy-as-Code explizit verweigert und protokolliert.

Werkzeugoberfläche

In Verben denken:

Absicht	Sicher	Anti-Pattern
dir_list	Überblick in erlaubten Wurzeln	/ durchsuchen
file_fetch	Binary mit bekanntem Hash	Riesiges Medium komplett laden
file_write	Patch im Scratch → git apply	Direkt in signierten Baum schreiben

Abstand zu Legacy-Tools

Headless-SSH ohne GUI: Chunk-Disziplin bleibt Pflicht. Shell-cat-Shortcuts entfernen—they sind eine zweite Datenlane.

Byte-Deckenkung und Chunks

Selbst 16 MB verschwenden Tokens bei falschen Wiederholungen: (1) Metadaten (2) ggf. 64 KB Preview (3) Voll-Fetch nach Freigabe. Große Medien über signierte URLs.

launchd und cwd

WorkingDirectory auf neutralem Pfad wie /var/lib/openclaw; Umgebungsvariablen und Secrets so priorisieren, dass HOME keine zusätzlichen Pfade öffnet. Danach launchctl kickstart und Curl-Matrix der Health-Probes.

Audit-Trail

Pro Fetch: Actor, normalisierter Pfad, Ergebnis, Bytes—denselben Bucket wie nginx-Ingress, um TLS und Policy-Verweigerungen zu trennen.

Siebenstufiges Rollout

1. npm-Semver einfrieren, Lock schreiben
2. OPENCLAW_STATE_DIR und plist snapshotten
3. Allowlist in Git stagen, PR reviewen
4. Synthetische dir_list/file_fetch-Probes
5. Plugin nur auf Canary aktivieren
6. 24 h Verweigerungsrate und p95 beobachten
7. Mit tarball + plist promoten oder zurückrollen

SLO

Signal	Schwelle	Maßnahme
Verweigerungen/h	Unerwartete Pfade >5	Writes stoppen, Diff-Review
Median Fetch-Größe	>6 MB anhaltend	Chunk-Gates zurücksetzen
Scratch frei	<15 %	Bereinigung oder 2 TB-SKU

FAQ

Frage	Antwort
~ rekursiv erlauben?	Nein—explizite Wurzeln auflisten.
Object Store ersetzen?	Nein—Großdaten via signierte URL.

Warum Mac mini M4

Schreib-Bursts konkurrieren mit APFS-Metadaten und xcodebuild. 1–2 TB NVMe Mac mini M4 glättet Scratch-Latenz. Kapazität: Preise, Notfall: Hilfe, FDA ggf. über VNC.