AI / 自動化 2026年5月7日

2026-05-07 OpenClaw ファイル転送プラグインパス方針バイト上限ヘッドレス レンタル クラウド Mac の強化(HK / JP / KR / SG / US

MacXCode エンジニアリングチーム 2026年5月7日 約25分

OpenClaw 2026.5.x はゲートウェイのホットパスをより軽くしつつ、バイナリ対応ツール(file_fetchdir_listdir_fetchfile_write)を公開するファイル転送プラグインを同梱します。デフォルト拒否のパス方針と上流リリースノートにある操作あたり 16 MB の上限がセットになっています。香港・東京・ソウル・シンガポール・米国でレンタルした Mac mini M4 では、NVMe の速度より隣接性が問題になります—同一ユーザーに OpenClaw、Xcode CI のチェックアウト、署名資産、スクラッチが同居します。この 2026-05-07 のガイドでは ルート許可リストlaunchd の作業ディレクトリの予測可能性、拒否イベントと 構造化ログ の相関、トークンを抑える ripgrep 優先トリアージ へのフォールバックを整理します。TCC / フルディスクアクセス も併読してください。

専用プラグインが脅威モデルを変える理由

汎用「ファイル読取」ツールはプロンプト注入やシンボリックリンクでパス注入を誘発します。明示的なデフォルト拒否はセキュリティをチャットの空気ではなく Git でレビューできる設定にします。

運用ルール:プラグインをデータプレーンとして扱い—新しい許可行はファイアウォール変更と同じ承認バーを課します。

無視できない 2026.5.x の背景

上流変更ログはプラグイン検出の高速化と遅延読込を強調します—小型 VM のコールドスタートには有利ですが、設定ドリフトの窓が狭まります。npm 更新後に別スキーマが読み込まれる前に semver を固定し、npm ls --depth=0 をインフラ repo にスナップショットし、ゲートウェイ更新とロールバック の tarball 手順でリハーサルしてください。デュアル ゲートウェイ では両方の状態ディレクトリへポリシーを適用します。

共有ビルダー上のデフォルト拒否モデル

自動化ユーザーへのゼロトラストから始め、次だけを許可:

  • CI 用にチェックアウトしたリポジトリルート/Volumes/builds/org/repo)。
  • 添付を永続化する場合、明示的な OPENCLAW_STATE_DIR 下の OpenClaw 状態
  • ライフサイクル自動化付きの短命 scratch(高速 NVMe)。

~/.ssh~/Library/Keychains、プロビジョニング プロファイルなど、典型的な秘密パスはポリシー as Code で明示拒否してください。

覚えておくべきツール意図

動詞で考え、トリックなプロンプトに頼らない:

意図 安全な使い方 アンチパターン
dir_list 許可ルート内の幅優先トリアージ / を探索目的で列挙
file_fetch ハッシュ既知のバイナリ成果物 数百 MB 動画を文脈として取得
file_write scratch へのパッチと git apply 本番署名ツリーへの直接書込

汎用ファイルツールと比較して

無制約ツールによる大規模読取はヘッドレス SSH(GUI 同意なし)には不向きです。プラグインは爆発半径を狭めますが チャンク規律 は依然必要です。

バイト上限・チャンク・部分読取

16 MB でも誤ファイルを繰り返し取得すれば予算を浪費します。三段階:(1) 一覧とメタデータ、(2) 可能なら最初の 64 KB プレビュー、(3) 承認後にフル取得。

ヘッドレスのヒント:CPU が空いているのに取得遅延が跳ねたら AV/EDR のスキャンを疑い、別 APFS ボリュームへ scratch を移す。

launchd、cwd、環境の整合

WorkingDirectory 未設定は驚くべき既定値を残します。中立パス(例 /var/lib/openclaw)を明示し、倉庫パスは引数で渡します。環境変数とシークレット の優先順位に従い、HOME が許可リストを広げないようにします。launchctl kickstart 後、ヘルスプローブ の curl マトリクスで検証します。

監査:記録する項目

最低限:

  • アクター — セッション ID + webhook ID。
  • パス — 正規化後の絶対パス。
  • 結果 — 許可 / 拒否 / 切り詰め / 再試行。
  • バイト — プロキシがボディを変える場合は前後。

ログは nginx 入口 と同じ保持バケットへ。

七段階ロールアウト

  1. 固定 npm semver;npm shrinkwrap
  2. スナップショット OPENCLAW_STATE_DIR と plist。
  3. ステージ Git で許可リスト—PR 承認。
  4. 実行 フィクスチャ repo で合成 dir_list + file_fetch
  5. 有効化 カナリアのみ。
  6. 監視 拒否と p95、24h
  7. 昇格 またはロールバック

SLO

シグナル 閾値 対応
時間あたり拒否 予期しないパス > 5 書込無効化;diff レビュー
取得サイズ中央値 > 6 MB が継続 チャンクゲート再開
scratch 空き < 15% 整理または 2 TB SKU

FAQ

質問 回答(2026-05-07)
~ を再帰許可できるか いいえ—具体ルートを列挙。
オブジェクトストレージの代替か いいえ—大容量メディアは署名 URL。

Mac mini M4 が依然フィットする理由

転送バーストは書込み重度です。1–2 TB NVMe のレンタル Mac mini M4 はスクラッチ遅延を安定させます。容量議論は 地域別料金、手順は ヘルプ、必要なら VNC で FDA ワークフローを承認します。

本番に触れる前に OpenClaw の scratch を分離

HK / JP / KR / SG / US · SSH / optional VNC