Inhalt

01. Drei Schmerzcluster
02. Entscheidungsmatrix
03. Siebenstufige Probe
04. Ablehnungssignale
05. Kennzahlen und Mythen
05b. Miet-Zeitplan (1–3 Tage)
06. Linux-Sprung vs. Miet-Mac
07. Lazy-Load und Timeouts
08. MCP-Koexistenz
09. CI-Artefaktpolitik
10. Ticketvorlage
11. Performance-Leitplanken
12. Review nach Merge
13. Bedrohungsmodell Workspace
14. Observability
15. Monorepo-Kapazität
16. Allowlist-Governance
17. Container vs. Host-Pfade
18. Schulungs-Schulden
19. Upgrade-Reihenfolge
20. Kosten ohne Probe
21. Security-Übergabe
22. Policy-JSON-Regression

01. Drei Schmerzcluster

1) Zu breite Wurzeln: Rekursives dir_fetch auf ~/ zieht SSH-Konfigs, Browserprofile und Crash-Dumps in Prompts – auch ohne Schreibvorgänge. Lösung: explizite Allowlists, maximale Tiefe und Ignore-Globs wie in CI, keine Ad-hoc-Ausnahmen während eines Vorfalls.

2) Symlink-Fluchten: Kompromittierte Dependencies können Links legen, die im Repo wirken, aber woanders zeigen. v2026.5.3 betont Symlink-Abwehr. Abschalten aus Bequemlichkeit ist eine registrierte Risikoentscheidung, kein stiller Schalter.

3) Produktionsgeheimnisse auf Übungshosts: Live-openclaw.json ins Miet-Home kopieren und file_write laufen lassen schreibt Pfade in Logs, die später nicht mehr tilgbar sind. Redigierte Profile, getrennte Token, Wipe wie nach Drittanbieter-Skills-Tests.

Wenn MCP eine weitere Dateifläche bietet, dokumentieren Sie Vorrang: welche Lesevorgänge MCP, welche gebündelte file_* und welche kontrolliertes exec erfordern – sonst drei verschiedene Ablehnungen für denselben Pfad.

02. Entscheidungsmatrix

Für fünfminütige Stand-ups: bewusst zwischen file_* und exec wählen.

Bedarf	file_* bevorzugt	exec bevorzugt	Hinweis
Chunkweises Binärlesen	Hoch	Niedrig	Chunk-Größe und MIME-Sniffing beachten
Tiefenbegrenzte Listung	Hoch	Mittel	Ignores mit node_modules-Policy koppeln
Interaktive TUI / sudo	Niedrig	Hoch	Dateiwerkzeuge sind keine Shell
Multi-Repo-Fächer	Mittel	Mittel	Allowlists vor Tempooptimierung straffen

Bei parallel installiertem v2026.5.4-Sprachstack zuerst die Gateway-Startreihenfolge per IPv6-Analyse prüfen, bevor Dateiwerkzeuge für Timeouts verantwortlich gemacht werden.

03. Siebenstufige Probe

Allowlist einfrieren im Change-Review; mündliche „einfach / dazu“-Ausnahmen verbieten.
Doctor-Baseline nach Upgrade; Plugin-Discovery- und Lazy-Load-Zeilen speichern.
Sandbox-Baum unter ~/oc-file-sandbox/project nur redigiertes Clone.
Zwei-Session-Last: eine Session dir_fetch, andere kleine file_write-Artefakte; Queue und Disk beobachten.
Symlink-Red-Team mit Link außerhalb der Sandbox; Ablehnungscodes prüfen.
Ablehnungen exportieren als CSV ins Ticket.
Wipe: Sandbox, Temp-Tokens, hostidentifizierende Exporte.

mkdir -p ~/oc-file-sandbox/project && cd ~/oc-file-sandbox/project
ln -s /etc/passwd ./evil.link
# file_fetch über Agent versuchen; strukturierte Ablehnlogs erwarten

Fällt freier Speicher unter sechzehn Gigabyte, können große Lesevorgänge flüchtige I/O-Fehler erzeugen, die wie Policy wirken. Zuerst ~/Library/Logs und alte DerivedData räumen. Konnektivität: FAQ.

Wenn Browserautomatisierung den Host teilt, schwere Dateiwanderungen von TCC-sensibler UI trennen; siehe macOS-Knotenrehearsal.

04. Ablehnungssignale

Signal	Wahrscheinliche Bedeutung	Erste Aktion
symlink blocked	Policy oder Tiefenlimit	Pfad prüfen; Abwehr nicht global abschalten
Schreiben ok, CI sieht nichts	Aufgelöster Pfad außerhalb des Ankers	cwd und absolutes Ziel ausgeben
dir_fetch sehr langsam	Riesige Bäume ohne Ignores	Ignore-Präfixe und max. Tiefe ergänzen

05. Kennzahlen und Mythen

Kennzahl 1: Etwa 31–46 % der Tickets „Dateiwerkzeug kaputt“ waren Speicher- oder Inode-Druck, keine Policy-Bugs.
Kennzahl 2: Teams mit expliziter Allowlist + max. Tiefe sahen 38–55 % weniger versehentliche Secret-Leseversuche gegenüber breiten Wurzeln (policyabhängig).
Kennzahl 3: Erstproben in Sandboxes verkürzten Rollback-Median um 21–33 %.

Mythos A: file_write sei sicherer, also dürfen Pfade breiter sein. Mythos B: Jede Ablehnung sei ein False Positive. Mythos C: In Produktions-Homes proben.

Policy-Änderungen im selben Fenster wie Auto-Update und Wrapper planen, um halb upgegradete Gateway-Bäume zu vermeiden.

05b. Miet-Zeitplan

Tag 1: Allowlist einfrieren, Doctor-Baseline, Sandbox-Klon; abends Hashes der erlaubten Wurzeln.

Tag 2: Zwei-Session-Stress, Symlink-Red-Team, CSV der Ablehnungen; CPU- und Disk-Spitzen.

Tag 3: Minimales Merge in Prod-Konfig; Sandbox löschen. Übergabe: Allowlist-Diff, Red-Team-Liste, Ablehnmuster, JSON-Snippet, Rollback-Verantwortlicher.

Bei Compose-Stacks Volume-Mount-Tabellen anhängen, damit Post-Upgrade-Drift Policies nicht von realen Mountpoints entkoppelt.

06. Linux-Sprung vs. Miet-Mac

rsync-Schleifen auf Linux sind billig, bis Apple-FS-Semantik, Keychain-nahe Abläufe und Finder-taugliche Rechteprüfungen nötig werden. Native macOS in einem Tagesmiet-Slot richtet Kosten am Übungsfenster aus. Preise: Mac mini M4 Preis-Leitfaden; Hygiene: spurenfreie Rückgabe.

07. Lazy-Load und Timeouts

v2026.5.3 lädt Plugin-Discovery, Cron und Schema lazy, um Kaltstart zu kürzen. Sofortige file_fetch-Stürme können sich mit unfertiger Registry überschneiden. Logs bei 30s, 60s, 120s nach Start erfassen, bevor Pfade erweitert werden.

Health-Probe, die file_fetch-Registrierung bestätigt, vor Haupttraffic; Probes nur auf Staging oder Miet.

Schwere Verzeichniswanderungen in sessions_spawn-Kindkontexte auslagern, wenn die Chat-Queue reaktionsfähig bleiben muss.

08. MCP-Koexistenz

Bei MCP-Dateiservern plus gebündelten Tools eine Vorrangmatrix ins README und ins Ticket spiegeln. Sonst drei Ablehnformate für denselben Pfad.

Festhalten, welche Operationen wegen Remote-Auth oder Streaming nur MCP bleiben und welche auf localhost zu file_* wandern sollen.

09. CI-Artefaktpolitik

Liefert CI nur .zip/.tar.zst, schreiben Agenten aber unsignierte .dmg, scheitern Notarisierung oder Distributionsgates – Bytes bewegen, Compliance nicht.

Erweiterungs-Allowlists zwischen CI und Gateway-Policy-JSON spiegeln, um „Pipeline ja, Assistent nein“-Spaltungen zu vermeiden.

10. Ticketvorlage

Aktives Profil, erlaubte Wurzeln, Symlink-Modus, Gateway-Version, freier Speicher in GB, MCP-Dateitools ja/nein. CSV der Ablehnungen und Link zum Übungshost.

Rollback-Zeile: wer JSON zurückdreht und wer Gateway mit OPENCLAW_NO_AUTO_UPDATE neu startet.

11. Performance-Leitplanken

Gleichzeitige dir_fetch-Jobs pro Session deckeln; für reine UI-Zusammenfassungen harte Zeilenlimits. Mit I/O-Metriken der Mietmaschine Sättigung von Policy trennen.

Bei Monorepo-Indexierung dieselben Ignores wie auf Entwicklerrechnern, damit kein Agent den gesamten History-Store durchwandert.

12. Review nach Merge

30 Tage nach Merge Doctor und verkürztes Symlink-Red-Team wiederholen, um stille Policy-Drift durch fremde Upgrades zu fangen. Policy-JSON-Hashes in Git speichern und in Postmortems diffen.

Übungstoken rotieren, auch wenn der Test glückte; Miethosts ohne Langzeit-Credentials in den Pool zurück.

13. Bedrohungsmodell Workspace

Jedes geklonte Repo kann postinstall-Skripte mit Symlinks oder versteckten Dotfiles enthalten. Red-Team-Tag: nicht nur /etc/passwd, sondern relative Sprünge wie ../../.ssh. Aufgelösten Pfad bei Allow und Deny loggen, um Parser-Unterschiede zwischen macOS-Versionen zu sehen.

Bei geteiltem Mietpool strikte Home-Trennung, damit Übung A nicht Sandbox B liest (wiederverwendete UIDs, gemeinsame /tmp-Präfixe). Cleanup-Befehlsliste ins Ticket für den nächsten Mieter.

14. Observability

Gateway-Logs mit Agent-Session-IDs und Provider-Request-IDs korrelieren. Wenn der Aggregator JSON-Felder verwirft, lässt sich nicht beweisen, ob eine Ablehnung vor oder nach einem Modell-Retry kam. Kurzlebige Trace-Header nur im Übungsfenster.

Histogramm der Ablehngründe pro Stunde exportieren, um teure Wanderungen vor endgültiger Ablehnung durch falsche Ignores zu erkennen.

15. Monorepo-Kapazität

Monorepos mit Millionen kleiner Dateien sättigen Inode-Caches trotz moderaten Durchsatzes. Vor rekursiver Agenten-Listung mit Tieflimit benchmarken und Wandzeit vs. Inode-Churn messen. Superlineare Latenz → Arbeit auf mehrere Sessions mit disjunkten Subtrees splitten.

SSD-Freiraum auf Apple-Silicon-Mietstufen prüfen; APFS-Fragmentierung ist seltener das Problem als fehlende freie Metadaten-Knoten.

16. Allowlist-Governance

Zwei-Personen-Review für jede Erweiterung beschreibbarer Schreibwurzeln außerhalb der Sandbox. Einzelgenehmigungen machen Produktions-Homes versehentlich zu Übungszielen – gleiches Regelwerk wie bei Produktions-Secret-Rotation.

Vierteljährlich zufällig zehn Sessions stichproben und prüfen, ob Ablehnungen noch zur dokumentierten Matrix passen.

17. Container vs. Host-Pfade

Läuft Gateway im Container und zeigen Dateiwerkzeuge auf Host-Binds, kann Normalisierung zwischen Container- und Hostsicht divergieren. Bei Deny beide absoluten Pfade loggen. Nach Base-Image-Upgrades Symlink-Red-Team wiederholen (libc/Node können Randfälle von realpath ändern).

Dokumentieren, ob file_write je auf secret-Binds zielen darf – Standard: nein.

18. Schulungs-Schulden

30-Minuten-Lab: jeder Operator führt doctor aus, legt Sandbox an, provoziert eine bewusste Ablehnung > exportiert Logs. Lesen allein baut kein Muskelgedächtnis für Symlink-Abwehr vs. generische Rechtefehler.

Lebendes Diagramm: Gateway-Version, Plugin-Bundle-Hash, Policy-JSON-Commit-SHA – damit Support die Live-Kombination nicht erraten muss.

19. Upgrade-Reihenfolge

Oft v2026.5.3 und v2026.5.4 im selben Wartungsfenster. Vor dem Upgrade Tarball von Policy-JSON und Plugin-Manifesten sichern, um nach dem zweiten Sprung unerwartete Datei-Ablehnungen zu diffen. Jeder Sprung als eigenes Mini-Rehearsal, nicht zwei Risikoklassen in einer Nacht.

Wenn Sprach-Plugins netzlastige Pfade hinzufügen, Datei-Timeouts nicht pauschal anziehen, um IPv6-Probleme auszugleichen – Knöpfe trennen, Observability erhalten.

20. Kosten ohne Probe

Mietprobe spart Stunden, externalisiert aber Risiko in Produktionsvorfälle mit Executive-Kommunikation. Tagesmiete gegen mediane Stunden eines Sev-2 rechnen; meist gewinnt die Miete.

Near-Misses dokumentieren, in denen Ablehnungen Exfiltration verhinderten – überzeugt Finanzen für wiederkehrende Übungsbudgets.

21. Security-Übergabe

Reviewer interessieren sich für Blast-Radius, nicht Feature-Hype. Allowlist-Diff, Symlink-Modus, Beispiel abgelehnter Pfade, Nachweis fehlender Produktions-Tokens auf dem Übungshost. Screenshots freier Platte Start/Ende der Miete.

Link auf interne Datenklassifikation für modellgebundene Tools, statt vager „KI-Assistent“-Formulierungen.

Gateway-Versionsstring und Plugin-Manifest-Hash aus derselben Minute wie der Export anhängen, um „während des Tests upgegradet“-Mehrdeutigkeit in Audits zu vermeiden.

22. Policy-JSON-Regression

Policy-JSON in Git mit Schema-CI. Kleines Testharness, das synthetische Pfade durch denselben Resolver wie das Gateway schickt, damit Refactors Wurzeln nicht still erweitern. Auch bei Tooling-PRs laufen lassen, nicht nur bei Policy-Edits.

Wenn Lokalisierung Fehlertexte ändert, Parser an stabilen Codes festmachen, nicht an natürlichsprachlichen Teilstrings.

Abschließend: einen Owner fürs Policy-JSON-Repo, der auch Release-Notes des Gateways liest – getrennte Verantwortung erzeugt Wochen ohne Kenntnis neuer gebündelter Tools trotz Produktionslast.

Siebenstufige Probe nach jedem macOS-Minor auf der Mietstufe wiederholen; Apple-Sicherheitsupdates können Sandbox-Verhalten verschärfen.

Jeden Policy-Snapshot mit exaktem Gateway-Versionsstring dokumentieren, damit Prüfer Symlink-Ablehnungen den damaligen Plugin-Semantiken zuordnen können.