OpenClaw 2026.3.x は Docker でスキーマとサンドボックスが厳格化し、プラグイン HTTP ルートが増えています。典型原因は setupCommand 旧形、OPENCLAW_SANDBOX 未設定、旧パス参照です。順序は validate → 環境 → setupCommand → HTTP → doctor。権限は
最小権限・ClawHub・doctor 実践記
と併読。
1. イメージ前に config validate
openclaw.json をコンテナと同じパスで検証し、CI 専用の鍵/include を漏らさない。失敗はパイプラインで止め、設定 PR とイメージ PR は分離。
2. OPENCLAW_SANDBOX を明示
dev/Compose/本番/CI で OPENCLAW_SANDBOX を true|false 明示。緩和はプロファイルやブランチ限定に閉じる。
3. setupCommand の正規化
cwd 固定・非対話・単一スクリプトに寄せ、連鎖 cd と重複フックを削る。依存はイメージビルドへ寄せるとヘルス時の再走が安定。
4. プラグイン HTTP 移行
マニフェスト・Gateway 接頭辞・リバプロを同一 PR で揃え、コンテナ内 curl → tailnet の順に切り分け。タイムアウト/ENOENT は PATH/cwd を疑う。
stdio/Streamable HTTP・ENOENT 実務。
5. doctor の順序
validate 後に新イメージで実行し、権限→ポート→ルート→DNS/TLS/プロキシの順に潰す。HTTP 不一致は接頭辞修正後に再実行。
- UID/GID とサンドボックス値の一致。
- stdio と HTTP の二重登録がないか。
6. 高メモリ遠隔 Mac と CI の共存
重い再ビルドは別台の高メモリ Macへ。同じ Node/ロックで validate/doctor を踏み、ランナーとワークツリーを共有しない。
Mac mini で役割分割する理由
検証は設定で抑え、再ビルドは Apple Silicon 帯域と macOS Unix が効き、Gatekeeper/SIP/FileVault で無人説明もしやすい。静音・低待機電力の Mac mini は長期コストも読みやすいオーバーフロー台。
Macstripe ホームで Mac mini M4 を比較し、CI と競合しない再ビルド窓を確保。今すぐスペックを確認し、2026.3.x 検証を進めましょう。
