出站治理的目標，是把「模型能發起的網路與系統動作」收斂到顯式策略：哪些網域允許解析、哪些 IP 段永遠不可達、工具呼叫在何種檔案系統視圖下執行、誰在什麼逾時視窗內核准高風險步驟——從而把安全從「靠同事自覺」變成可複現、可稽核的機讀設定。
 
     
本文預設閘道行程已能以最小權限執行，且入站側已依生產習慣綁定 127.0.0.1 或經反向代理；若你仍在搭建遠端 Mac 上的目錄與 SSH 基線，可先對照 2026年遠程開發 Mac mini 從 0 到 1 完成 iOS 打包與發佈。 需要把稽核落盤與備份視窗對齊時，可與 Gateway 定時備份與 JSONL 可觀測性 Runbook 交叉對照，避免日誌卷與 openclaw backup 爭搶 I／O。若你在升級 Node 或 SecretsRef 時遇到權限邊界問題，亦可一併參考 OpenClaw v2026.3 部署排錯：macOS Tahoe 與 Node.js 22。 
 
    
 
  
    
    
 
     
以下為結構示意：鍵名與巢狀路徑請以你目前 OpenClaw 版本文件為準；合併前務必備份生產檔案，並與團隊既有 gateway.router、憑證引用等段落手工合併，避免覆寫未版本化的金鑰路徑。
 
     
{ 
 
     
“gateway”: {
 
     
"security": { "outbound": { "mode": "allowlist", "allowedHosts": [ "api.openai.com", "api.anthropic.com", "generativelanguage.googleapis.com" ], "denyPrivateRanges": true, "blockMetadataEndpoints": true, "denyHosts": ["169.254.169.254"] }, "sandbox": { "enabled": true, "toolExecution": "subprocess", "filesystem": "workspace-readonly", "network": "outbound-policy-only" }, "audit": { "sink": "jsonl", "path": "/var/log/openclaw/audit.jsonl", "retentionDays": 90, "emitFields": [ "request_id", "profile", "tool_call", "outbound_host", "policy_decision", "hitl_status" ] }, "humanInTheLoop": { "channels": ["slack_approvals", "email"], "rules": [ { "match": { "tool": "shell", "risk": "destructive" }, "requireApproval": true }, { "match": { "outboundHostNotInAllowlist": true }, "requireApproval": false, "action": "deny" } ], "timeoutSeconds": 900, "onTimeout": "abort" } } 
 
     
} }
 
    

 
denyPrivateRanges 與 blockMetadataEndpoints 解決「模型以為在測公網 API，實際在打內網」的經典 SSRF 形狀；humanInTheLoop.rules 裡對「非白名單出站」用 deny 而非核准，避免核准佇列被海量探測淹沒。
 
  
    
    
 
     
 
      
凍結出站清單。拉取過去 7 天閘道存取日誌與上游帳單中的 Host，去重後對應到供應商文件；區分「模型 API」「登入 OAuth」「CDN 下載」三類。
 
      
備份 JSON 與日誌路徑。cp openclaw.json openclaw.json.bak.$(date +%Y%m%d%H%M)；確認 /var/log/openclaw 掛載獨立卷或有 logrotate。
 
      
先合 outbound，再開 sandbox。避免先縮檔案系統權限導致工具初始化失敗卻誤判為「模型問題」。
 
      
接通稽核欄位。保證每筆記錄能串聯 request_id 與上游回應標頭中的追蹤 ID，便於供應商工單。
 
      
設定 HITL 管道。在 Slack／郵件裡用固定討論串範本，包含「核准／拒絕／延期」與過期語意；逾時一律 abort。
 
      
負向與正向用例。負向：對私網與 metadata 位址應出現策略拒絕且稽核為 deny；正向：白名單網域完整走通一次工具鏈。
 
      
歸檔與演練。每季做一次「核准人全員不可用」演練，確認不會靜默執行高危指令。
 
     
 
    
 
  
    
    
 
     
 
      

        連線 RFC1918 位址成功 出站策略未生效或 DNS 被劫持到內網 立刻回滾並檢查是否走了系統 Proxy 旁路；稽核應顯示 
       denyPrivateRanges 命中 核准佇列堆積 規則過寬，把可自動拒絕的流量送進 HITL 對明確非法出站使用 
       deny；縮小 
       destructive 定義 逾時後任務「自己跑完」 
       onTimeout 誤設為 continue 改為 
       abort 並加告警；複核稽核是否記錄逾時事件 
      
 
     
 
    
 
  
    
    
 
     
 
      
稽核保留：retentionDays: 90 常與季度覆盤節奏對齊；若受合規約束 1 年+，改為冷歸檔到物件儲存並更新 DLP 流程。
 
      
HITL 視窗：timeoutSeconds: 900（15 分鐘）適合跨時區 on-call；更短適合純互動情境，避免佇列占用。
 
      
私網防護：除 RFC1918 外，務必單列 169.254.169.254 等鏈路本機與 metadata 入口——雲與混合 Mac 節點上尤其常見。