OpenClaw State Directory Backup und Lease-Übergabe auf Cloud Mac 2026: ~/.openclaw schützen ohne Sync-Katastrophen

Teams, die das OpenClaw-Gateway auf einem gemieteten Apple-Silicon-Cloud-Mac betreiben, behandeln die Laufzeit wie Vieh, bis jemand iCloud Desktop und Dokumente aktiviert und sich der Gateway-Zustand leise über Laptops aufteilt. Fazit dieses Leitfadens: Halten Sie ~/.openclaw nur auf lokalem APFS, snapshotten Sie verschlüsselte Archive vor Lease-Wechseln und probieren Sie vierteljährlich Restore mit einem Manifest, das Secrets von Konfiguration trennt. Sie erhalten eine Sensitivitätsmatrix, zehn Übergabe-Checkpunkte für MacLogin-Rotationen in Hongkong, Japan, Korea, Singapur und den USA sowie ein fünfstufiges Disaster-Drill, das in die Mittagspause passt.

Vor Pfadänderungen lesen Sie TCC und Exec-Freigaben, vergleichen Sie Installationsflächen in install.sh versus npm global, und bookmarken Sie MacLogin-Hilfe für Konnektivität. Für einen dedizierten Automatisierungshost nutzen Sie Preise, um RAM für parallele Modelle und Disk-Headroom für State-Snapshots zu dimensionieren.

Produkt-Governance sollte das State-Verzeichnis wie eine operative Datenbank behandeln: Backup-Fenster, On-Call-Owner und Akzeptanzkriterien für jede PR, die Pfade ändert. Die teuersten Vorfälle entstehen selten aus OpenClaw selbst, sondern aus der Kombination „geteiltes Home + vergessenes launchd-Skript + noch gültiger Slack-Token auf dem alten Host“.

Was tatsächlich unter ~/.openclaw auf einem Gateway-Mac liegt

Denken Sie in drei Schichten: Identität und Kanalbindungen (Tokens, Geräte-IDs), Orchestrierungszustand (Warteschlangen, Cron-Definitionen, gecachte Prompts) und ephemerer Scratch (Logs, Temp-Exporte). Alles blind zu sichern dupliziert Secrets in unsicheren Objektbuckets; nichts zu sichern zwingt Sie im Vorfall, Integrationen aus dem Gedächtnis neu aufzubauen.

• Config-JSON-/YAML-Fragmente, die Model-Routing beschreiben, aber keine API-Keys in Git einbetten sollten.
• launchd-plist-Referenzen, die mit dem Benutzerkontext des Gateways synchron bleiben müssen.
• Workspace-Metadaten mit Pfaden zu Repos auf der Platte — diese Pfade brechen bei Regionsmigration.

Ergänzen Sie eine vierte implizite Schicht: Binary-Versionen und Build-Fingerprints. Bei Streit „wer hat was deployed“ muss das Manifest Gateway-Semver und Paket-Hash enthalten, nicht nur Dateien unter ~/.openclaw.

Warum Cloud-Sync-Ordner und Symlinks Gateway-Zustand zerstören

2026 warnt die Community wiederholt davor, OpenClaw-State in iCloud Drive, Dropbox oder synchronisierte Google-Drive-Wurzeln zu legen. Die Failures sind mechanisch: kollidierende Dateisperren bei Prompt-Bursts, Teil-Uploads die SQLite-ähnliche Stores korrumpieren, versehentliches Teilen eines Ordners mit Long-Lived-Credentials.

1. Mounts inventarisieren: Führen Sie df -h ~ aus und prüfen Sie, dass Home lokales APFS ist, kein Netzwerk-Home aus Legacy-AD.
2. Desktop/Dokumente-Umleitung prüfen: macOS-Funktionen, die Ordner nach iCloud spiegeln, verschieben Pfade, die Skripte für lokal hielten.
3. Inode verifizieren: Nach Migration Inode-Nummern zwischen Primary und Standby vergleichen — Mismatch bedeutet, rsync hat ein verstecktes Verzeichnis übersprungen.
4. Exclusions dokumentieren: Explizite Backup-Tool-Exclude-Regeln für **/tmp/** unter dem State-Baum — bis zu 40 % kleinere Archive.
5. Keys nach Restore rotieren: Jede wiederhergestellte Token-Datei wie potenziell exponiert behandeln; 15 Minuten pro Provider für Re-Issue einplanen.

Compliance-Teams sollten einen Nachweis verlangen, dass das State-Verzeichnis nicht von einer MDM-Richtlinie „Dokumente in der Cloud“ erfasst wird. Screenshot der Systemeinstellungen plus mount-Ausgabe reichen oft für den Audit-Punkt.

Sensitivitäts- und Backup-Frequenz-Matrix

Teilbaum	Sensitivität	Backup-Kadenz	Hinweise
Config-Templates (redacted)	Mittel	Täglicher Git-Commit	sops oder Vault-Refs statt Literale
Kanal-Secrets	Kritisch	Nie Klartext-Tarball	In KMS; Gateway zieht beim Boot
Cron-/Automations-Defs	Hoch	Wöchentlicher verschlüsselter Snapshot	Korrelation mit launchd-Scheduling
Scratch-Logs	Niedrig	Optional 24h-Puffer	Gut fürs Debug, riskant bei PII

Teams, die nur Verfügbarkeit messen, vergessen Reproduzierbarkeit: Derselbe Runbook muss funktionieren, wenn der Lead im Urlaub ist und der neue Host latenzseitig woanders sitzt.

Zehn Checkpunkte bei MacLogin-Lease-Rotation

#	Checkpunkt	Pass-Kriterium
1	Gateway sauber stoppen	Keine aktiven Jobs in Queue-Datei
2	Redacted-Config-Bundle exportieren	Checksum im Ticket veröffentlicht
3	Outbound-Webhooks widerrufen	HTTP 401 auf Test-Ping
4	plist-Snapshot + launchctl print	Neben Bundle gespeichert
5	Lokale Secrets löschen	Sicheres Löschen verifiziert
6	DNS-/Tunnel-Endpunkte aktualisieren	Propagation unter TTL
7	Gateway auf neuer Lease reinstallieren	Version entspricht Policy
8	Nicht-geheimen State importieren	Diff-Review genehmigt
9	Kanäle Smoke-Testen	3 synthetische Nachrichten OK
10	CMDB-Eintrag schließen	Altes Asset als retired markiert

Nummerieren Sie die Schritte im Ticketing-Tool; Post-Mortems zeigen, dass Scheitern meist bei 3, 6 und 9 hängt — Geister-Webhooks, halb propagiertes DNS, „grüne“ Kanäle, die nur eine Richtung getestet haben.

Ergänzend lohnt sich ein kurzer Abschnitt im Runbook zu Datenresidenz: Wenn Ihr Gateway personenbezogene Slack-Nachrichten zwischenspeichert, kann ein blind kopierter State-Bucket die Aufbewahrung in ein Land bringen, das Ihre DPA verbietet. Taggen Sie Archive mit region_codes und verknüpfen Sie sie mit der MacLogin-Region, damit Legal beim ersten Blick sieht, ob ein Cross-Border-Transfer vorliegt. Für Teams mit getrennten EU- und US-Policies sollten zwei Manifeste existieren — nicht zwei Verzeichnisse auf demselben Host.

Fünf-Schritte-Restore-Drill, monatlich wiederholbar

1. Staging-Lease provisionieren in derselben Region wie Produktion (HK/JP/KR/SG/US) zur Latenz-Imitation.
2. Baseline-Hardening aus sshd- und Gateway-Runbooks vor Datenkopie anwenden.
3. Nur redacted Bundle wiederherstellen, dann Secrets per Vault-CLI injizieren — nie rohe .env per scp.
4. Gateway-Healthchecks wie Produktionssonden für 10 Minuten laufen lassen.
5. Tatsächliches RTO gegen Ziel dokumentieren; bei Verfehlung Capacity-Ticket mit CPU-Steal-Metriken aus der Aktivitätsanzeige öffnen.

Wechseln Sie den Übungsleiter: ein anderes Duo pro Quartal deckt Dokumentationslücken auf, die der ursprüngliche Autor übersieht.

Halten Sie ein Änderungsprotokoll für jede Wiederherstellung: Uhrzeit, beteiligte Personen, gemessenes RTO, Abweichungen vom Standard-Runbook. Diese Notizen beschleunigen SOC2-ähnliche Nachweise und helfen Finance, wiederkehrende Kapazitätsengpässe zu erkennen, bevor die nächste Modellgeneration RAM-Verbrauch erhöht. Archivieren Sie das Protokoll neben dem verschlüsselten Snapshot.

FAQ

Sollen wir Time Machine für ~/.openclaw nutzen? Akzeptabel, wenn Zielplatte verschlüsselt und zugriffskontrolliert ist; bevorzugen Sie anwendungsbewusste Archive ohne volatile Caches.

Was ist mit dockerisierten Gateways? Volumes explizit auf Host-Pfade außerhalb von Sync-Ordnern mappen; nur die Compose-Datei mit Platzhaltern committen.

Brauchen wir separaten State pro Umgebung? Ja — dev/stage/prod dürfen keinen gemeinsamen Baum auf einem Produktions-Lease-Mac teilen.

Warum Mac-mini-M4-Leases helfen, State als Infrastruktur zu behandeln

Apple-Silicon-Unified-Memory hält Modell-Hot-Caches stabil, während Hintergrundagenten State schreiben, ohne Paging-Stürme wie x86-VMs unter gemischter KI-Last. MacLogin Bare-Metal-Leases liefern deterministische Disk-Performance für verschlüsselte Snapshots, Multi-Region ermöglicht ein wärmere Standby-Gateway näher am Slack- oder Teams-Egress. Mieten erlaubt einen Wegwerf-Host für destruktive Restore-Drills ohne Risiko für die Produktions-Seriennummer in MDM-Profilen.

Brauchen Sie einen zweiten Knoten nur für State-Experimente, klonen Sie Manifeste auf Hardware aus Preisen und pinnen Sie die Gateway-Version auf dasselbe Semver wie im Ticket.