OpenClaw のハウスキーピングは cron と launchd のどちらを使うべきですか？

Apple Silicon の macOS では launchd を推奨します。ThrottleInterval、StandardOutPath のローテ、スリープ後の再スケジュールが OS アップグレードを跨いで揃いやすいです。レガシー互換で cron を使う場合は、PATH・LANG・SecretRef の注入を launchd プロファイルと完全一致させ、黙って飛ばす差分を残さないでください。

security audit --deep はハイブリッド構成で何を拾いますか？

ワールド書き込み可能なゲートウェイディレクトリ、openclaw.json 横の平文 API キー、リバプロ無しで 0.0.0.0 にバインドしたリスナー、古い TLS 信頼アンカー、ゲートウェイユーザーに対して広すぎる launchd plist 権限などが典型です。本番チャネルを繋ぐ前のリリースゲートとして扱ってください。

Task Ledger が制御面では成功なのに Mac 側で何も動いていないように見えます。

時計ずれ、間違ったホストへの SSH 多重化、Ledger パスが開発者のローカル NTFS／ext ボリュームを指しているケースが多いです。NTP をおおよそ 100ms 以内に揃え、ssh_config で HostName を固定し、両プレーンが合意するパス（NFS や git 同期下のワークスペース）に Ledger を置いてください。

ゲートウェイだけ Windows に置き、Xcode ジョブだけ Mac に送れますか？

TLS 終端とポリシーを Windows／Linux に寄せることは可能ですが、notarytool やデバイスビルド、多くの MCP ツールは macOS 実行面が必要です。コンプライアンス面を抑えつつネイティブツールチェーンを保つには、実行面を Apple Silicon の物理 Mac に固定し、制御 API と Webhook だけを企業 OS 側にルーティングするのが現実的です。

2026年 OpenClaw ハイブリッド：Windows／Linux 制御面 ＋ ZoneMac リモート Apple Silicon 実行面

はじめに

ハイブリッドとは、オペレータと自動化のトリガーを Windows／Linux に置きつつ、OpenClaw のワーカー・チャネル・Apple 専用ツールチェーンをヘッドレスのリモート Mac に固定する構成です。ZoneMac のような常時電源と安定出口を前提にすると、開発者ノートのスリープや VPN 切断が Ledger とログの真実から外れます。

全プラットフォームの導入土台は 2026年 OpenClaw 完全インストールガイド：Mac / Windows / Linux 全プラットフォーム展開チュートリアル、常時稼働と launchd／cron の典型障害は 2026年 OpenClaw Gateway 7×24 切断とデーモン／launchd トラブルシュート：install-daemon、launchd と openclaw health の再現手順と併読すると、制御面と実行面の切り分けが速くなります。

同一公開日の英語版・簡体字版は <head> の hreflang から辿れます。英語版：OpenClaw hybrid topology（EN）　簡体字版：OpenClaw 混合拓扑 Runbook（ZH）。

1. ハイブリッド OpenClaw で踏みがちな壁

アイデンティティと PATH の分裂：Windows サービスアカウントは C:\Program Files 配下の OpenClaw を見る一方、Mac の LaunchAgent は Homebrew のシムを見ます。cron は /usr/bin を先に拾い、対話検証したプラグインを黙ってスキップします。
二重スケジューリング：運用が夜間 cron バックアップを足し、開発者がすでに launchd タイマーを配っていると、JSONL のアーカイブが交錯するか、重複排除ロジックが自分と喧嘩します。
監査の死角：security audit を --deep なしで流すと、チャネル取り込み後に初めて現れる過剰に緩い plist ACL やワールド書き込み可能なプラグインディレクトリを見落とします。
Ledger のドリフト：制御面の SSH セッションでは Task Ledger の行が進むのに、軽い macOS アップグレードで NFS が別マウントに付け替わると、冪等キーは「完了」のまま成果物が届いていないように見えます。

2. 導入とトポロジの対照表（制御面／実行面）

Windows／Linux にポリシーとジャンプボックスを残しつつ、ZoneMac の Apple Silicon 実行面を正当化するときの会話テーブルです。

論点	Windows／Linux 制御面	Apple Silicon macOS 実行面（ZoneMac）
OpenClaw CLI 導入	公式インストーラ／パッケージマネージャ向き。オーケストレーションと CI トリガに適合	Homebrew または `/opt/openclaw` に固定した tarball。チャネルドキュメントと整合しやすい
Apple 専用ワークロード	notarytool、デバイスラボ、ネイティブ ScreenCaptureKit 経路をホストできない	ネスト仮想化税のない物理金属上でフルツールチェーン
`security audit --deep`	プロキシ設定とリポジトリクローン中心の検証に留まりがち	SIP 近傍パス、リスナー、plist 権限の権威ある監査面
Task Ledger 保管	Ledger をローカル NTFS／ext のみに置くと Mac から見えずリスクが高い	POSIX リネームを満たす APFS 上に置き、必要なら git でミラー
スケジューラ	systemd タイマー／タスクスケジューラでクロスプラットフォームの糊付け	原則 launchd。レガシー要件のみ cron

3. 七ステップの再現 Runbook

トポロジ図の凍結：リバプロや企業 TLS、Git PR コメントを Windows／Linux に残し、ゲートウェイ・MCP・Apple CLI を ZoneMac ホストに載せるラベルを付ける。22 番を広げる前に社内 Wiki へエクスポートします。
導入パリティチェックリスト：両プレーンで同一の OpenClaw マイナーバージョンをピン留めし、チェックサムを記録。macOS は FileVault と MDM でブート後にゲートウェイユーザーが実際にログインできる状態まで含めて確認します。
Mac で security audit --deep：本番 SecretRef を流し込む前に、ループバック以外へのリスナーと plugins/ のグループ書き込みビットなど高重要度の指摘を潰します。
Task Ledger 初期化：~/.openclaw/ledger か、ACL を文書化した /var/db/openclaw を選択。制御面 SSH ユーザーが同一路径に fsync でき、翻訳レイヤで原子的リネームが壊れないことを確認します。
まず launchd：ハウスキーピングは ThrottleInterval を 30 秒以上、ログは ~/Library/Logs/OpenClaw/、環境変数は SecretRef 裏付け plist を EnvironmentVariables から参照します。
cron はミラー専用：財務系のクラシック cron 要件があるなら flock ファイルで名前空間を分け、launchd が既に回している JSONL ローテと二重にしない。MAILTO は監視つきエイリアスへ。
検収ゲームデイ：API キーを一本失効させ、sshd を一度跳ばし、五分以内に Ledger リプレイで冪等回復できるか確認。Windows／Linux 側のオーケストレーション画面でも openclaw doctor 相当のラッパーが同じターミナル状態を示すことを合図にします。

4. 切り分け（症状→最初の一手）

症状	ありがちな原因	最初の一手
`audit` が SIP パスを指す	密封システムボリューム上の期待挙動	可変状態をユーザー書き込み可能プレフィックスへ移し、移設後に `--deep` を再実行
JSONL 行の重複	cron と launchd が同じローテを回している	どちらか一方を止め、所有者を文書化した `flock` ガードを追加
Ledger が running のまま	タスク途中で SSH セッションが落ちた	`ServerAliveInterval` を設定し、再開キーで戻す。陳腐行は SLO に従って失効
ポリシー変更直後の 401 連発	Windows 側時計が JWT 許容を超えた	両プレーンで NTP を揃え、署名の目撃者として Mac を再認証の基準にする

5. 設計メモに貼れる数値

JWT スキュー予算：IdP との時計差はおおよそ 300 秒以内を目安に（厳しいテナントは <60 秒）。
launchd ThrottleInterval：依存がフラップするときの API 嵐回避のため、ハウスキーピングは 30〜120 秒から。
企業プロキシのアイドル：多くの環境で 300〜900 秒。SSH トンネルで制御コマンドを流すなら ServerAliveInterval を 60 秒程度に寄せると切れにくいです。

6. FAQ

<head> の JSON-LD と揃えた要約です。

launchd と cron：Apple Silicon では launchd が本命。cron は互換シムとして扱い、同一ファイルを二重にスケジュールしない。
security audit --deep：リスナー・シークレット配置・プラグインディレクトリモードのリリースゲート。
Task Ledger の食い違い：OpenClaw 本体を疑う前に共有パスと NTP を疑う。
Windows だけゲートウェイ：TLS と RBAC には向くが、Apple 専用ビルドは Mac 実行面に残す。

7. 実行面に Mac mini 級が向く理由

ハイブリッドが成功するとき、macOS 側は退屈であるほど良い状態です。Apple Silicon のユニファイドメモリは、ゲートウェイ・MCP・Xcode を同時に抱えても小さな x86 箱で起きがちな DRAM 壁に当たりにくく、macOS は Gatekeeper・SIP・FileVault の重ね掛けで無人実行のリスクを下げます。

Mac mini M4 級はアイドル時おおよそ4W 前後の消費電力でも launchd タイマーと JSONL 偏重の監査に素直に応答し、24/7 の電力と空調予測をしやすいです。ヒューマンコールとファンカーブを奪い合わない静音性も、据え置き実行面としての採用理由になります。

スリープや SIP まわりで手戻りしたくないなら、専用の Mac mini M4 を ZoneMac で確保し、本記事の監査ステップを本番チャネル接続前に通すのが最短です。ZoneMac のトップからプランを確認し、Windows／Linux に複雑さを寄せつつ実行面だけを金属に固定してください。

2026年 OpenClaw ハイブリッドトポロジー：Windows／Linux 制御面＋ ZoneMac のリモート Apple Silicon macOS 実行面——導入対照、`security audit --deep`、Task Ledger と cron／launchd の再現 Runbook（切り分け＋FAQ）