В manifest перечислены capabilities — почему doctor всё равно сообщает о необъявленном доступе?

Часто дрейф пути или схемы: шлюз читает manifest только из allow-list корня или workspace; регистр полей, версия JSON Schema или несовпадение с запущенным бинарником инвалидируют файл. Сравните путь, который печатает openclaw doctor -v, с тем файлом, который вы правили, и используйте grep из статьи.

После отключения ACP dispatch могут ли старые сессии всё ещё вызывать плагины?

Зависит от реализации: во многих сборках изменение применяется к новым запросам после hot reload, а очередь может нести старые метаданные маршрутизации. Перезагрузите шлюз в окне обслуживания, проверьте 403 или noop на read-only smoke, убедитесь по JSONL, что для заблокированных clientId больше нет plugin spans.

Какой самый быстрый откат, если fail-closed блокирует легитимный плагин?

Восстановите предыдущий openclaw.json (или снимок конфигурации) и перезагрузите сервис; если менялась схема manifest, откатывайте шлюз и бандл плагина вместе. Откат только бинарника при новой политике часто даёт зелёный doctor и сломанную автоматизацию.

Можно ли канареечно один узел 7×24 перед fleet-wide enforcement?

Рекомендуется: включите fail-closed и проверки manifest на вторичном узле, пока основной на legacy policy; сравните долю ошибок и p95 за час до промоушена. Закрепите каждый узел на одном git tag или ревизии конфигурации, чтобы диагностика не была «наполовину новой».

2026: OpenClaw — fail-closed, manifest и ACP на удалённом Mac‑шлюзе 7×24

Введение и границы

На безголовом Mac в удалённой стойке плагины — часть поверхности атаки. В 2026 году нормой становится обязательный manifest (нет соответствующего manifest — не загружаем) плюс fail-closed (сбой валидации запрещает исполнение вместо тихого разрешения).

Этот материал переводит эту постуру в пункты чек-листа, подкреплённые doctor, и в grep, которые можно приложить к заявке на изменение; ACP (Agent Client Protocol) dispatch трактуется как главный рубильник для вопроса кто может попасть в планировщик плагинов. Держите снимки парой «конфиг + дерево плагинов», чтобы RTO отката укладывался в окно обслуживания. Вне области: контракты к вендорским моделям; предполагается, что launchd закрепляет пользователя сервиса и WorkingDirectory. Для базовой установки агентов 7×24 см. также OpenClaw v2026.4: руководство по установке 24/7 AI‑агентов на ZoneMac.

Три класса боли

Ограничение: неявные полномочия и «запустилось — в прод». Возможности вроде fs, network или subprocess, не попавшие в manifest, в режиме fail-open часто разрешаются молча — аудит не докажет, что именно было дозволено.
Скрытая стоимость: doctor зелёный ≠ политика реально включена. openclaw doctor может закрывать рантайм и порты, тогда как hot reload так и не подхватил новые флаги enforcement manifest — снаружи остаётся legacy‑поведение.
Стабильность и аудит: откат без парных снимков — фикция. Агрессивный fail-closed ломает легитимную автоматизацию ночью; без снимков конфигурации и бандла плагина вы окажетесь с правкой JSON под дежурство, нарушая SLO 7×24.

Матрицы fail-closed × manifest

Первая таблица отвечает на вопрос «насколько жёстко». Вторая — на сигналы изменений и проверки.

Среда	Manifest	Fail-closed	ACP dispatch
Продакшен, шлюз 7×24	Обязателен	Вкл.	Только allow list clientId / workspace
Staging интеграция	Обязателен	Вкл. (shadow на плагин допустим)	Ослабление по тенанту команды + полный JSONL
Ноутбук разработчика	Обязателен (рекоменд.), зеркало прода	По желанию выкл. для скорости	Локально all-open или loopback

Сигнал изменения	Рекомендуемое действие	Доп. приёмка
Новый плагин или крупное обновление	Канареечный узел + двойной diff manifest	doctor + grep на объявленную версию схемы
Больше внешних ACP / агент‑клиентов	Ужесточить allow list и rate limits	Трассировка plugin spans по requestId
Всплеск ошибок с denied в логах	Сначала shadow-count, затем решение об откате	Diff пятиминутных окон до/после отката

Чек-лист аудита openclaw doctor

Считайте doctor доказательством того, что политика реально загружена — отмечайте каждый пункт в тикете (ключи сопоставляйте с openclaw.json или переменными окружения по документации вашей поставки).

Рантайм и PATH: соответствуют пользователю launchd; which openclaw совпадает с бинарником из plist.
Разрешение manifest: печатает эффективные корни плагинов; отклоняет каталоги без manifest при включённом enforcement.
Флаги fail-closed: doctor печатает boolean и файл-источник; WARN для релиза — блокер.
ACP dispatch: состояние переключателя и мощность allow list; пустой allow list при включённом dispatch должен предупреждать, что ни один клиент не войдёт.
Внешнее здоровье: пара curl на localhost и /ready (если есть), чтобы не получить «самопроверка зелёная, reverse proxy красный».

Переключатели ACP dispatch

ACP dispatch здесь означает, могут ли запросы от агент‑клиентов (IDE, CLI, внешние оркестраторы) попасть в планировщик плагинов. При fail-closed порядок операций: сначала валидация набора плагинов по manifest, затем dispatch как охрана входной двери, чтобы скомпрометированный клиент не прыгнул сразу в high-risk hook.

Иллюстративный JSON (замените ключи на схему вашего релиза перед продом):

{
  "plugins": {
    "requireManifest": true,
    "failClosed": true,
    "manifestSchemaVersion": "2026-05"
  },
  "acp": {
    "dispatchEnabled": true,
    "allowedClientIds": ["ci-runner-prod", "vscode-workspace-ops"],
    "denyByDefault": true
  }
}

Согласуйте allowedClientIds с внутренним OAuth или субъектами mTLS и логируйте декартово произведение clientId × pluginId в JSONL для криминалистики.

Фрагменты grep для приёмки

Запускайте из архива или живого workspace (пути подставьте свои):

# Явные флаги fail-closed / requireManifest
grep -RniE 'failClosed|fail_closed|requireManifest|require_manifest' \
  ~/.config/openclaw ./openclaw.json 2>/dev/null

# У каждого каталога плагина должен быть manifest (нет = не грузим)
find "$OPENCLAW_PLUGIN_ROOT" -maxdepth 2 -type f \( -name 'manifest.json' -o -name 'plugin.yaml' \) | wc -l

# В проде allow list ACP dispatch не должен быть пустым
grep -Rni 'dispatchEnabled|allowedClientIds|denyByDefault' ~/.config/openclaw ./openclaw.json 2>/dev/null

Если первый grep ничего не находит, вы, вероятно, всё ещё на неявном fail-open — не подписывайте прод «на память».

Семь шагов контролируемого отката

Заморозка: объявите обслуживание; приостановите cron, расширяющий поверхность вызовов.
Снимок: tar openclaw.json, деревьев плагинов, plist launchd и stdout doctor.
Обязательные manifest: reload, проверка grep, счётчики «отказ в загрузке».
Fail-closed: единые коды ошибок для необъявленных capabilities; пятиминутный базовый JSONL.
Ужесточение ACP dispatch: сначала shadow (только лог), затем deny-by-default.
Триггер отката: при нарушении SLO восстановите парные снимки, launchctl kickstart, повторите doctor.
RCA: обновите grep-чек-лист и тикет; назначьте следующую канарейку.

Ориентиры для сносок

Окно наблюдения: смотрите минимум пятиминутное скользящее окно после правок политики прежде чем решать «оставить / откатить» — пики при старте не инцидент.
Хранение снимков: держите в проде три восстановимые ревизии конфигурации, каждая с checksum tarball плагинов.
Аудит: полный вывод doctor и захваты grep храните с тикетом ≥30 дней под типичные внутренние выборочные проверки комплаенса.

FAQ

В manifest есть capabilities — откуда «undeclared»?

Сравните разрешённый путь, который печатает doctor, с файлом, который вы правили; проверьте версию схемы и регистр полей. При необходимости прогоните тот же бандл на staging с полными логами загрузки.

После выключения dispatch старые сессии всё ещё дергают плагины?

Зависит от очередей и реализации: сделайте reload, при необходимости сбросьте неподтверждённую работу, если SLO позволяет, затем read-only smoke по критическим путям.

Совместимы ли fail-closed и shadow mode?

Да — shadow увеличивает счётчики «отказали бы» без смены HTTP статуса; переводите в жёсткий deny, когда метрики стабилизируются.

Китайская версия: OpenClaw 插件 fail-closed 与 manifest（简体）.

Итог: почему Mac mini подходит под эту нагрузку

Управление плагинами переносит доверие с «устной традиции» на машинно проверяемую политику: manifest ограничивает capabilities, fail-closed задаёт поведение при сбое, ACP dispatch сужает вход, а doctor с grep даёт цепочку доказательств, которую ждут аудиторы.

На macOS это стыкуется с launchd, Unified Logging, Gatekeeper и SIP. Apple Silicon Mac mini M4 в простое держится порядка 4 Вт — удобно для шлюзов 7×24 и побочных проб; по сравнению с универсальными mini‑ПК за те же деньги длинные сессии OpenClaw, экспортёров здоровья и лёгкого CI runner на одной удалённой физической машине обычно ведут себя ровнее.

Если нужен выделенный хостинговый узел вместо своей стойки, Mac mini M4 в 2026 году остаётся одним из лучших стартов по цене/качеству — арендуйте удалённый физический Mac и превратите enforcement manifest и откат в повторяемую процедуру.

2026: плагины OpenClaw — fail-closed и обязательный `manifest` на удалённом физическом Mac‑шлюзе 7×24: аудит `openclaw doctor`, переключатели ACP dispatch и контролируемый откат (grep + FAQ)