임대 Mac에서 게이트웨이와 스킬 패키지를 모두 고정해야 하는 이유는?

공유 연산 테넌트는 호스트에 올라간 바이너리·번들을 그대로 상속합니다. 게이트웨이나 스킬이 조용히 올라가면 도구 표면과 네트워크 호출이 하룻밤에 넓어질 수 있습니다. 버전·digest를 고정하고 변경을 티켓에 남기면 사고 재현과 변경 창이 예측 가능해집니다.

읽기 전용 마운트만으로 악성 스킬을 막을 수 있나요?

읽기 전용 마운트는 마운트된 트리의 무결성에는 도움이 되지만, 임의 출구 네트워크나 마운트 밖 쓰기 가능 경로를 막지는 못합니다. 읽기 전용과 함께 전용 스크래치 디렉터리, 아웃바운드 화이트리스트, OS·방화벽 규칙을 함께 쓰세요.

경로 순회를 잡으려면 무엇을 로그해야 하나요?

도구가 요청한 경로, 정규화 후 절대 경로, 세션의 워크스페이스 루트, 허용·거부 여부를 로그합니다. 게이트웨이 요청 ID와 상관관계를 맞추면 사후 분석이 쉬워집니다.

출구를 조인 뒤 DNS나 TLS 오류가 납니다. 어떻게 하나요?

로그에서 실제 연결 호스트명을 캡처하고, CNAME·리전 엔드포인트를 확인한 뒤 관측된 FQDN만 허용 목록에 추가합니다. 임대 하드웨어에서 와일드카드 허용은 영향 범위가 크므로 리스크를 수용할 때만 쓰세요.

2026 OpenClaw 실전: 임대 원격 Mac에서 스킬 샌드박스·읽기 전용 워크스페이스·출구 도메인 화이트리스트

임대 원격 Mac에서 OpenClaw를 돌릴 때 연산 임대 보안의 핵심은 최소 권한 스킬, 읽기 전용 워크스페이스, 아웃바운드 도메인 화이트리스트입니다. 아래는 런북용 최소 재현 절차입니다. 게이트웨이 배포·하드닝은 Docker·프로덕션 가이드, 세션 연결은 SSH·VNC 체크리스트와 맞추세요.

게이트웨이와 스킬 패키지 버전 고정

버전 표류는 도구·네트워크 표면을 조용히 넓힙니다. 임대 Mac을 작은 프로덕션 셀처럼 다루고, 핀 변경은 티켓에 남기세요.

게이트웨이 — CLI는 [email protected] 고정; Docker는 digest 고정 이미지와 compose를 짝지어 보관합니다.
스킬 패키지 — git 태그·tarball 체크섬으로 고정 트리만 로드합니다.
설정 스냅샷 — 유효 설정·(가린) env를 티켓에 첨부해 사고 시 “무엇이 돌았는지”를 증명합니다.

고정만으로는 부족합니다. curl류 출구는 아래 마운트·화이트리스트로 막습니다.

디렉터리 샌드박스와 읽기 전용 마운트 파라미터 표

게이트웨이 설정과 Docker/데몬 볼륨을 한 세트로 맞춥니다: 단일 워크스페이스 루트, 소스·스킬은 :ro, 산출은 전용 rw 스크래치.

파라미터	권장 자세	임대 Mac에서의 메모
워크스페이스 루트	단일 기준 경로(예: /srv/openclaw/workspace)	홈 아래 산재 쓰기 지양.
고객·저장소 트리	:ro 마운트	유지보수 창 외 rw 금지.
스킬 번들 디렉터리	설치 후 :ro	런타임 수정 차단, 배포 파이프로만 갱신.
스크래치·산출물	전용 rw 볼륨, 가능하면 쿼터	대용량 산출은 여기만.
설정·시크릿	엄격한 POSIX 권한의 호스트 경로	기동 전 umask·그룹 검증.
OS 에이전트 샌드박스 모드	비신뢰 세션에 non-main 계열 격리	upstream 권장·agents.defaults.sandbox.mode는 배포 가이드 참고.

볼륨 줄 예시(경로는 공급자 레이아웃에 맞게 조정):

- /data/customer/acme/src:/workspace/src:ro
- /data/skills/acme-pack/v1.4.2:/skills/acme:ro
- /data/scratch/acme:/workspace/out:rw

출구 도메인 화이트리스트 구성 단계

관대한 출구망에서는 연산 임대 보안을 경계(방화벽·프록시·컨테이너 정책)에서 강제합니다.

목록화 — 레지스트리·모델 API·Git·웹훅 등 스킬별 호스트와 서브도메인을 적습니다.
분류 — 필수 출구만 먼저 허용, 분석·부가 호스트는 이후 단계로 미룹니다.
구현 — 단일 병목(pf·출구 프록시·네트워크 정책)과 OpenClaw URL 필터가 있으면 동일 목록을 동기화합니다.
롤아웃 — 로그 전용으로 거부를 모은 뒤 규칙을 좁힙니다(CDN·리다이렉트 누락이 흔합니다).
검증 — 드라이 런에서 차단이 명시적으로 보이는지 확인합니다.

로컬 추론(Ollama 등)은 127.0.0.1 바인딩을 문서화하고, 큐·동시성은 배치 추론 가이드와 맞춥니다.

감사 로그 요점

사후 질문은 두 가지입니다: 무엇을 시도했는가, 무엇이 거부되었는가. JSON 등 구조화 로그에 최소한 UTC·세션 ID, 도구·스킬 버전·설정 해시, 요청 경로·정규화 절대 경로·워크스페이스 루트·연산·허용/거부, HTTP 메서드·호스트·차단 사유, 출구/마운트 정책 버전 ID를 넣습니다.

임대 디스크는 재활용될 수 있으니 SIEM·오브젝트 스토리지 등 테넌트 싱크로 포워딩하고, launchd·오케스트레이터로 상시 전송을 걸어둡니다.

권한 초과·경로 순회(Path traversal) FAQ

permission denied — :ro 마운트, macOS 전체 디스크 접근, 컨테이너 UID·호스트 권한을 순서대로 확인합니다.

스크래치 밖 쓰기 — 마운트 전 symlink 목적지, symlink 추적 비활성, 정규화 후 ../ 거부.

화이트리스트 뒤 간헐 403 — CDN/SNI 불일치; 로그의 실제 FQDN만 추가, 무분별 와일드카드 지양.

로컬에선 되고 임대만 실패 — 볼륨 표·uid/gid·DNS 검색 도메인 차이.

업데이트 후 행동이 넓어짐 — 이전 digest 롤백, 네트워크·FS 감사 diff, 티켓 없는 허용 확대 금지.

정리

버전 고정·:ro 마운트·출구 화이트리스트·구조화 감사 네 가지가 공유 임대 Mac에서 OpenClaw를 안전하게 쓰는 최소 번들입니다. 리전·사양은 가격·구매, 장애는 도움말을 보세요.