2026年 OpenClaw Gateway 出站治理与安全护栏实战:域名白名单、Sandbox、审计日志与人在回路在远程物理 Mac 上的可复现 Runbook(openclaw.json 片段 + FAQ)
当 OpenClaw Gateway 跑在 ZoneMac 远程物理 Mac 上对接公网模型与工具链时,真正的风险往往不在「进站的 TLS」,而在出站任意访问、工具执行越权与不可审计的自动操作。本文给出一套可落地的出站域名白名单、Sandbox、JSONL 审计与人在回路(HITL)组合拳;含决策矩阵、可粘贴的 openclaw.json 结构示意、七步 Runbook、可引用阈值与 FAQ。
1. 导语与适用边界
出站治理的目标,是把「模型能发起的网络与系统动作」收敛到显式策略:哪些域名允许解析、哪些 IP 段永远不可达、工具调用在何种文件系统视图下执行、谁在什么超时窗口内批准高风险步骤——从而把安全从「靠同事自觉」变成可复现、可审计的机读配置。
本文默认网关进程已能以最小权限运行,且入站侧已按生产习惯绑定 127.0.0.1 或经反向代理;若你仍在搭建远程 Mac 上的目录与 SSH 基线,可先对照
Mac mini 远程开发指南:构建高效云端工作流。
需要把审计落盘与备份窗口对齐时,可与
Gateway 定时备份与 JSONL 可观测性 Runbook
交叉对照,避免日志卷与 openclaw backup 争抢 I/O。
2. 痛点拆解
- 出站无边界等于隐式 SSRF。模型或工具若可向任意 Host 发起 HTTPS,就可能探测内网、抓取云 metadata、或把租户数据外传到未备案域名;「事后封 IP」往往已经泄露。
- 没有 Sandbox 的工具执行是裸奔。在远程物理 Mac 上直接跑 shell / 脚本时,一次路径穿越或环境变量注入就可能读写用户目录;沙箱把可读写的根缩到工作区,并把网络与出站策略绑定。
- 缺少审计与 HITL 时,合规与排障同时失灵。没有结构化审计,你无法证明「当时是谁批准了删除」;没有人在回路,破坏性动作会在无人值守窗口自动执行——两者叠加是 SOC2 / 内部红队最常说的「不可举证」。
3. 决策矩阵:护栏维度 × 基线
用下表做一次「上线前签字」:左列为凑合方案,右列为建议基线。
| 维度 | 凑合方案(高风险) | 建议基线 |
|---|---|---|
| 出站策略 | 仅依赖系统代理或防火墙手工维护 | 应用层 allowlist + 阻断私网段与 metadata 常见入口 |
| Sandbox | 与网关同用户、全盘可写 | 工作区只读或受限写、网络跟随出站策略 |
| 审计 | 仅 stdout 滚动日志 | JSONL,含 request_id、工具名、出站 Host、策略命中与 HITL 决策 |
| 人在回路 | 口头约定「危险命令先问人」 | 可编程规则 + 审批渠道 + 超时默认 abort |
| 7×24 节点 | 策略与值班表只存在聊天里 | Runbook 与 24/7 智能体部署指南 对齐 on-call 与升级路径 |
4. openclaw.json 可复现片段
以下为结构示意:键名与嵌套路径请以你当前 OpenClaw 版本文档为准;合并前务必备份生产文件,并与团队已有 gateway.router、凭证引用等段落手工合并,避免覆盖未版本化的密钥路径。
4.1 出站、沙箱、审计与人在回路
{
"gateway": {
"security": {
"outbound": {
"mode": "allowlist",
"allowedHosts": [
"api.openai.com",
"api.anthropic.com",
"generativelanguage.googleapis.com"
],
"denyPrivateRanges": true,
"blockMetadataEndpoints": true,
"denyHosts": ["169.254.169.254"]
},
"sandbox": {
"enabled": true,
"toolExecution": "subprocess",
"filesystem": "workspace-readonly",
"network": "outbound-policy-only"
},
"audit": {
"sink": "jsonl",
"path": "/var/log/openclaw/audit.jsonl",
"retentionDays": 90,
"emitFields": [
"request_id",
"profile",
"tool_call",
"outbound_host",
"policy_decision",
"hitl_status"
]
},
"humanInTheLoop": {
"channels": ["slack_approvals", "email"],
"rules": [
{
"match": { "tool": "shell", "risk": "destructive" },
"requireApproval": true
},
{
"match": { "outboundHostNotInAllowlist": true },
"requireApproval": false,
"action": "deny"
}
],
"timeoutSeconds": 900,
"onTimeout": "abort"
}
}
}
}denyPrivateRanges 与 blockMetadataEndpoints 解决「模型以为在测公网 API,实际在打内网」的经典 SSRF 形状;humanInTheLoop.rules 里对「非白名单出站」用 deny 而非审批,避免审批队列被海量探测淹没。
5. 七步落地 Runbook(远程物理 Mac)
- 冻结出站清单。拉取过去 7 天网关访问日志与上游账单中的 Host,去重后映射到供应商文档;区分「模型 API」「登录 OAuth」「CDN 下载」三类。
- 备份 JSON 与日志路径。
cp openclaw.json openclaw.json.bak.$(date +%Y%m%d%H%M);确认/var/log/openclaw挂载独立卷或有 logrotate。 - 先合 outbound,再开 sandbox。避免先缩文件系统权限导致工具初始化失败却误判为「模型问题」。
- 接通审计字段。保证每条记录能串联
request_id与上游响应头中的追踪 ID,便于供应商工单。 - 配置 HITL 渠道。在 Slack/邮件里用固定线程模板,包含「批准 / 拒绝 / 延期」与过期语义;超时一律
abort。 - 负向与正向用例。负向:对私网与 metadata 地址应出现策略拒绝且审计为
deny;正向:白名单域名完整走通一次工具链。 - 归档与演练。每季度做一次「审批人全员不可用」演练,确认不会静默执行高危命令。
6. 出站拒绝与 HITL 分诊表
| 现象 | 优先解释 | 建议动作 |
|---|---|---|
| 连接 RFC1918 地址成功 | 出站策略未生效或 DNS 被劫持到内网 | 立刻回滚并检查是否走了系统代理旁路;审计应显示 denyPrivateRanges 命中 |
| 合法供应商域名被拒 | 重定向到新 Host(常见于 OAuth)未入白名单 | 抓包 Host 链,按供应商文档补齐;临时可走工单扩容而非全局关白名单 |
| 工具报 EPERM / EACCES | Sandbox 文件系统视图过紧 | 把构建缓存与 artifact 明确挂载进允许写路径;不要把全盘放宽为可写 |
| 审批队列堆积 | 规则过宽,把可自动拒绝的流量送进 HITL | 对明确非法出站使用 deny;缩小 destructive 定义 |
| 超时后任务「自己跑完」 | onTimeout 误设为 continue |
改为 abort 并加告警;复核审计是否记录超时事件 |
7. 可引用信息(写进 Runbook 的数字与清单)
- 审计保留:
retentionDays: 90常与季度复盘节奏对齐;若受合规约束 1 年+,改为冷归档到对象存储并更新 DLP 流程。 - HITL 窗口:
timeoutSeconds: 900(15 分钟)适合跨时区 on-call;更短适合纯交互场景,避免队列占用。 - 私网防护:除 RFC1918 外,务必单列
169.254.169.254等链路本地与 metadata 入口——云与混合 Mac 节点上尤其常见。
8. FAQ
问:出站白名单会不会卡死第三方 SDK 的跳转域名?
会。上线前用一周期的真实流量样本抓 Host 直方图,把供应商文档列出的 API、OAuth、CDN 与重定向域名一并纳入;对偶发长尾域名可设工单扩容流程,而不是临时关白名单。
问:Sandbox 能防住「模型诱导」的破坏性 shell 吗?
沙箱降低文件系统与网络越权面,但不能替代策略:对 rm/curl 到内网/metadata 等高风险工具仍应配置人在回路或静态拒绝列表,并把每次尝试写入审计。
问:审计 JSONL 磁盘满了怎么办?
为日志卷单独 quota;用按日滚动与 retentionDays 对齐备份策略;与 Cron 备份 Runbook 联动,避免与 openclaw backup 争用同一窗口造成写放大。
问:人在回路超时应默认放行还是中止?
默认建议 abort:放行会把高风险操作推迟到无人值守时段,违背审批语义;若业务必须自动继续,应降级为只读动作并显式告警,而不是静默执行原指令。
9. 总结与节点选型
出站治理、沙箱、审计与 HITL 四件事,本质是同一命题:把「能做什么」写成策略,并能用日志证明。把它们落在 ZoneMac 远程物理 Mac 上,你能获得长期稳定的 Unix 语义与 launchd 级进程托管,减少「为了绕过权限而关沙箱」的诱惑。
与同等价位的通用 x86 小主机相比,Mac mini M4 在 Apple Silicon 统一内存带宽、待机约 4W 量级的静音运行与 macOS 原生安全栈(Gatekeeper、SIP、FileVault)上更契合长期在线网关角色:崩溃率低、补丁路径清晰,也更适合与 Xcode / 签名 / 公证类工具同机共存。若你希望把本文的护栏与 Runbook 跑在可预期、低运维摩擦的硬件上,Mac mini M4 是当前高性价比的起点;现在即可通过 ZoneMac 获取远程物理 Mac,把出站策略与审计闭环落在真机环境上。
需要一台可跑 OpenClaw 出站治理的远程物理 Mac?
ZoneMac 提供高性能 Mac mini 云端租赁,网关、审计卷与工具链同机落地,便于复现 openclaw.json 与 7×24 值守。