2026年 OpenClaw 插件 fail-closed 与 manifest 强制声明在远程物理 Mac 7×24 网关落地：openclaw doctor 审计清单、ACP dispatch 开关与受控回滚 Runbook（grep 片段 + FAQ）

2. 痛点拆解

1. 限制：隐式权限与「能跑就行」。未在 manifest 声明的 fs/network/subprocess 能力在 fail-open 模式下常被静默允许，审计时无法证明「当时允许了什么」。
2. 隐性成本：doctor 绿 ≠ 策略生效。openclaw doctor 可能只覆盖运行时与端口；若配置热重载未加载新 manifest 校验开关，对外仍表现为旧行为。
3. 稳定性与审计：无快照的回滚是假回滚。fail-closed 切狠了会把合法自动化打断；没有配置 + 插件包成对快照，只能连夜手工改 JSON，违背 7×24 SLO。

3. fail-closed × manifest：决策矩阵

第一张表回答「什么时候该多硬」；第二张表对齐「变更类型 × 验收」。

4. openclaw doctor 审计清单

把 doctor 当作「策略是否真的加载」的第一道门：下列项建议在变更工单里逐条打勾（具体键名以你发行版文档为准，可映射到 openclaw.json 或环境变量）。

• 运行时与 PATH：与 launchd 用户一致；which openclaw 与 plist 中一致。
• manifest 解析：打印有效插件根路径；拒绝「目录存在但无 manifest」的插件。
• fail-closed 标志位：doctor 应报告当前布尔值与来源文件；WARN 视为发布阻断项。
• ACP dispatch：开关状态 + 白名单条目数；空白名单且开关开时应明确提示「无客户端可入站」。
• 对外探活：本机 curl 与（若存在）/ready 联合验收，避免「自检绿、反代红」。

5. ACP dispatch 开关怎么配

ACP dispatch 在这里指：来自 Agent 客户端（IDE、CLI、外部编排器）的请求，是否允许进入「插件调度器」。与 fail-closed 组合时，推荐顺序是：先 manifest 校验插件集，再 用 dispatch 控制入口，避免「客户端被攻破 → 直接打穿到高危 hook」。

示意配置（键名为说明性占位，上线前请替换为当前版本 schema）：

{
  "plugins": {
    "requireManifest": true,
    "failClosed": true,
    "manifestSchemaVersion": "2026-05"
  },
  "acp": {
    "dispatchEnabled": true,
    "allowedClientIds": ["ci-runner-prod", "vscode-workspace-ops"],
    "denyByDefault": true
  }
}

生产环境务必将 allowedClientIds 与内部 OAuth／mTLS 主体对齐，并在 JSONL 中记录 clientId 与 pluginId 的笛卡尔积，便于事后取证。

6. 验收用 grep 片段

在归档目录或当前工作区执行（路径按你机器调整）：

# 是否显式打开 fail-closed / requireManifest
grep -RniE 'failClosed|fail_closed|requireManifest|require_manifest' \
  ~/.config/openclaw ./openclaw.json 2>/dev/null

# 插件目录是否都存在 manifest（缺失即应拒绝加载）
find "$OPENCLAW_PLUGIN_ROOT" -maxdepth 2 -type f \( -name 'manifest.json' -o -name 'plugin.yaml' \) | wc -l

# ACP dispatch 白名单是否非空（生产）
grep -Rni 'dispatchEnabled|allowedClientIds|denyByDefault' ~/.config/openclaw ./openclaw.json 2>/dev/null

若第一条无命中，说明配置仍停留在默认 fail-open；不要仅凭「以前能跑」签字上线。

7. 七步受控回滚 Runbook

1. 冻结：挂维护公告；暂停会放大调用面的定时任务。
2. 快照：打包 openclaw.json、插件目录、launchd plist 与 doctor 文本输出。
3. 打开 manifest 强制：reload 后 grep 校验；观察「拒绝加载」计数。
4. 打开 fail-closed：对未声明能力返回统一错误码；保留 JSONL 5 分钟基线。
5. 收紧 ACP dispatch：先 shadow（只记日志不拒绝），再切 deny-by-default。
6. 回滚触发：若 SLO 跌破阈值，恢复成对快照（配置 + 插件包），launchctl kickstart 后复跑 doctor。
7. RCA：更新 grep 清单与变更记录，安排下次金丝雀。

与发布通道、openclaw update 同机交织时，优先阅读 发布通道与可回滚升级 Runbook，避免「升版本」与「改策略」在同窗叠加导致归因困难。

8. 可引用信息

• 观测窗口：策略变更后至少观察 5 分钟滑动窗口再判断去留，避免把启动尖峰误判为故障。
• 快照保留：生产建议保留最近 3 份可恢复配置修订（含插件 tarball 校验和）。
• 审计留存：doctor 全量输出与相关 grep 结果随工单保留 ≥30 天，满足多数内部合规抽查。

9. FAQ

10. 总结与节点选型

插件治理的本质，是把「信任」从人情改成可机器验收的策略：manifest 管能力边界，fail-closed 管失败态，ACP dispatch 管入口面，doctor 与 grep 管签字证据链。

这类策略在 macOS 上与 launchd、统一日志和 Gatekeeper／SIP 同向叠加：Apple Silicon Mac mini M4 待机约 4W 量级，适合长期跑网关与观测代理；与同价位通用小主机相比，你在同一台远程物理机上同时跑 OpenClaw、探针与轻量 Runner 时，崩溃率与能耗曲线通常更友好。

若你希望把上述 Runbook 落在免自建机房的专用节点上，Mac mini M4 仍是 2026 年高性价比起点——现在即可获取一台远程物理 Mac，把插件策略与回滚练成标准工序。