長駐閘道的風險寫在 openclaw.json:外掛範圍、skills 釘版、憑證邊界。ClawHub 請釘來源/版本,plugins.entries 白名單裁剪,必要時熱重載。傳輸與逾時見 MCP stdio/HTTP 排錯;多機權限見 手把手與 Actions 多機。
一、ClawHub skills:匯入、釘選與審核節奏
從 ClawHub 拉 skills 最怕版本漂移與多註冊工具。設定寫死 URI/tag/commit,staging 抽查 tools/list;檔案/網路/雲 API 分桶,路由只開必要桶;升級走 PR。口訣:Hub 是供應鏈,沒釘選就等於每次啟動都可能換行為。
二、plugins.entries:白名單裁剪與預設關閉
plugins.entries 當白名單:示例外掛也關。裁完重看 tools/list;仍變長就查全域外掛目錄與環境覆寫。
三、憑證邊界與熱重載:別把密鑰混進模型上下文
憑證放鑰匙圈或 ACL 檔,設定只留引用鍵。熱重載限本機 JSON/外掛;遠端拉取別跟重載綁,以免線上升供應鏈。
四、onboard → doctor → fix --all:可複現排錯順序
onboard 對齊使用者/cwd/守護行程;doctor 看埠、重複 Agent、外掛與 MCP;混逾時/ENOENT 時先最小工具呼叫,備份後再考慮 fix --all。乾淨機要照抄重播得了。
五、遠端彈性 Mac 常駐對照重工具負載
遠端彈性 Mac很適合輕閘道+偶發圖形任務:launchd、使用者與鑰匙圈邊界好切。重工具(長編譯、多模擬器)請另看 CPU/磁碟/記憶體,必要時閘道與建置分機,別把 CI 外掛桶灌回生產設定。
六、上線前自檢
- skills 釘版+staging 抽查工具列。
plugins.entries白名單與tools/list長度一致。- 憑證僅引用鍵;重載不拉未釘遠端。
- onboard→doctor→fix 可乾淨機重播。
在 Mac mini 上收斂權限與常駐
macOS 讓閘道+鑰匙圈路徑短;launchd 常駐穩;Apple Silicon 統一記憶體省 OOM;約 4W 待機、靜音利長開;Gatekeeper/SIP/FileVault 收斂攻擊面。把閘道放可 SSH 的雲上 Mac mini時,Mac mini M4 仍是 2026 年高性價比起點;開 Macstripe 首頁 挑區域即可。若你要把本文流程跑在最流暢、最少夜間驚喜的硬體上,現在就從 Mac mini M4 試起最省事。
