01. 三つの失敗モード

1) 日常ノートへの直載せ： Skills はフックや二進数を同梱します。~/.ssh 近傍では周辺権限を継承されるため、捨てられる macOSへ試験を移します。

2) 星数を監査と混同： メンテナと版固定がなければ移動する依存関係を受け入れます。不変タグと内部ミラーを併用します。

3) 静かな外向き通信： 子プロセス付き Skill はプロンプト操作でデータを持ち去れます。許可リスト、別キー、Skill 名付きログを組み合わせます。

4) プロンプト注入と組織の空白： 広い読み取りは文書経由の秘密流出を招きます。既定拒否にし、高価値リポジトリを実験 Skill と分離します。承認者・代理・SLA を Wiki 掲載前に指名してください。

02. ClawHub と git のマトリクス

設計レビュー向けの比較表です。

シグナル	ClawHub パッケージ	任意の git フォーク
メンテナ追跡性	発行者プロフィールとコンソール記載の導線	実在の人と組織へ手作業で写像が要る
バージョン固定	タグに適す。ロックファイルは別途検証	ブランチは動く。SHA か内部フォークで固定
権限の爆発半径	マニフェストとローカル方針次第。自動サンドボックスではない	同様。敵対前提でレビューする

症状	想定原因	最初の手
有効化直後の新規外向きホスト	HTTP クライアントや更新器	停止・差分・ラボ PCAP
想定外の Keychain やファイルアクセスを Gateway が求める	宣言を超えたフック登録	別 macOS ユーザーで実行し TCC を絞り、インシデント票を起票
モデル不変でも夜間に同じプロンプトの挙動が変わる	Skill 自動更新または依存ドリフト	版固定、 tarball ミラー、ハッシュ比較

サーフェス棚卸し： 読み取りパス、子プロセス許可、環境変数、宣言ツールを列挙します。マニフェストが曖昧なら上流修正まで高リスク扱いです。
メタデータ凍結： OpenClaw ビルド、Gateway コミット、Skill タグと SHA、レビュア、チャット範囲を一つのチケットへ記録し、口頭引き継ぎを禁止します。
ラボ用アカウントの用意： 企業 SSO プロフィールのない捨てユーザーかレンタル用インスタンスを用意し、本番 DB ではなく合成フィクスチャだけを載せます。
ログ付きインストール： 標準出力とエラー、/tmp 配下の書き込み、永続化の有無を捕捉します。コンソール手順は Skills ガイドと突き合わせます。
スモークプロンプト： 無害、境界パス、敵対的なシステムプロンプトの三種を回し、権限拡大の静かな成功ではなく拒否かスコープ内エラーを期待します。
MCP 方針の整合： Skill が MCP を包むなら、MCP セキュリティ基線と承認ゲートを二重化しないよう揃えます。
解体証跡： 一時 API キー失効、作業ツリー削除、Gateway エントリ除去、承認成果物の SHA-256 保管を行います。ディスク衛生は SSH と VNC の FAQ の返却チェックに沿います。

shasum -a 256 -r ./skills/<v>/<s>/** | sort > before.txt
shasum -a 256 -r ./skills/<v>/<s>/** | sort > after.txt
diff -u before.txt after.txt

運用上の注意： 単一 Markdown に脅威モデルと証跡を残し、金曜夕方の有効化は避けます。コンソール更新と再起動計画を調整してください。

検索は Brave と Tavilyを別予算へ分離し、429 を可視化します。

Skills はシェルや Node などを含むデプロイ可能コードです。SBOM、 tarball ミラー、SCA、本番での latest 拒否を適用し、Hooks 併用時は再試行と冪等性の責務を文書化します。

MCP と DB 到達が重なる場合は主ゲートを一つにし、SecretRef とトークン衛生でリモート Gateway を統制します。ログへ Skill 名・版・相関 ID を載せ、SIEM では skill_id 等のフィールドを使います。

OAuth 付き Skill はレンタル Mac の捨てブラウザで扱い、EU 個人データが混ざる場合は子プロセスごとに処理場所を写像します。ロールバックを短時間演習し、承認一覧にオーナーとキルスイッチ担当を明記します。

VM は TCC やデバイス検証を省略しがちです。ネイティブ macOS の短期レンタルは挙動近似と破棄可能性を両立します。レンタル FAQ、ベアメタル価格、リモートアクセスガイドで構成を選んでください。