Une fois OpenClaw Gateway actif sur un Mac mini M4 Pro distant, le prochain manque n'est rarement un plug-in canal supplémentaire. Ce sont les Skills : la surface d'outils appelables que votre Agent utilise pour le travail sur fichiers, l'automatisation navigateur, l'exécution shell et les workflows spécifiques à l'équipe. Dans la ligne 2026.5.x, les Skills sont passés d'une convention de dossiers informelle à un modèle d'installation de première classe avec packs intégrés, catalogues communautaires ClawHub et un chemin explicite d'upload d'archives privées via skills.install.allowUploadedArchives. Les équipes qui traitent les Skills comme des plug-ins, ou qui ignorent la planification disque, découvrent souvent l'échec seulement après des boucles de redémarrage Gateway ou un zip uploadé silencieusement dans le mauvais arbre workspace.
Cet article vise les opérateurs ayant terminé l'installation de base et l'onboarding daemon. Vous obtenez une carte frontière Skills versus plug-ins, une checklist pré-vol 2026.5.x, une matrice d'activation intégrée, des commandes install et pin ClawHub, un upload zip privé avec frontières de sécurité, un découpage disque sur Mac distant avec paliers M4 et M4 Pro, une matrice symptômes, un cas de montée en charge anonymisé et un runbook en douze étapes. Tarifs sur la page tarifs NOVAKVM ; commande sur la page commander ; SSH et politique de sauvegarde dans le centre d'aide. À lire aussi : isolation multi-workspace, plug-ins externes npm 2026.5.x, clôture premier run, install.sh et disque. Les commandes suivent la doc upstream ; rouvrir le dépôt après chaque release.
[ SECTION_01 ] // BOUNDARY_MAP Skills versus plug-ins : la frontière qui casse les équipes en production
L'erreur post-install la plus courante est d'installer un Skill via la CLI plug-in, ou d'activer un plug-in canal quand l'Agent a besoin d'un pack Skill. Ils partagent un hôte Gateway et se chevauchent parfois dans le nommage, mais résolvent des problèmes différents.
- Les plug-ins étendent l'ingress et les services sidecar : Telegram, Discord, WeChat ClawBot, ponts mail et adaptateurs canal npm s'attachent au Gateway comme plug-ins. Ils font entrer et sortir les messages ; ils ne définissent pas quels outils l'Agent peut appeler en session.
- Les Skills étendent la capacité Agent : lecture/écriture fichier, contrôle navigateur, wrappers API structurés, runbooks internes empaquetés en outils appelables. Les Skills chargent dans la runtime Agent et apparaissent dans les listes d'outils pendant la conversation.
- Racines d'installation différentes : les plug-ins vivent typiquement sous les chemins cache documentés dans la note plug-ins externes 2026.5.x. Les Skills atterrissent sous
~/.openclaw/skills/avec sous-arbres built-in, ClawHub et archives uploadées. - Rayon d'explosion upgrade différent : un upgrade plug-in peut couper un canal. Un upgrade Skill peut changer les schémas d'outils et casser des prompts Agent qui supposaient d'anciennes formes d'arguments.
- Posture sécurité différente : les plug-ins détiennent souvent des tokens OAuth pour les surfaces messaging. Les Skills peuvent exécuter des commandes shell ou lire des fichiers locaux ; les archives uploadées exigent un flag allow explicite et un scoping workspace.
Règle pratique : si le problème est « mon bot ne reçoit pas les messages Telegram », réparer les plug-ins. Si c'est « mon Agent ne peut pas exécuter notre checklist interne », réparer les Skills. Mélanger les deux surfaces CLI gaspille un après-midi et corrompt parfois des répertoires cache partagés.
| Dimension | Skills | Plug-ins |
|---|---|---|
| Rôle principal | Outils et workflows appelables par l'Agent | Canaux, ponts, adaptateurs ingress |
| CLI typique | openclaw skill list|install|enable|pin |
openclaw plugin list|install|pin |
| Source catalogue | Intégré, registre Skills ClawHub, zip privé | Canaux intégrés, plug-ins ClawHub, npm externe |
| Upload privé | Oui, via archive quand allowUploadedArchives est true |
Typiquement npm ou paquet ClawHub, pas zip arbitraire |
| Multi-workspace | Listes enable et répertoires upload par workspace | Pins plug-in par workspace (voir note multi-workspace) |
| Levier rollback | openclaw skill pin plus retrait de la liste enable |
openclaw plugin pin plus redémarrage Gateway |
[ SECTION_02 ] // PREFLIGHT Modèle Skills 2026.5.x et contrôles préalables
Avant d'installer tout pack Skill, confirmer quatre baselines sur le Mac distant. Les ignorer produit des erreurs qui ressemblent à des zips corrompus mais sont des mismatches version ou permission.
- Major OpenClaw : la sémantique install Skills remonte au schéma config 2026.5.x. Lancer
openclaw --versionet aligner la section Skills du README pour ce tag. - Santé Gateway :
curl -fsS http://127.0.0.1:18789/healthdoit retourner ok avant mutations install. Un Gateway à demi mort mid-install laisse des arbres skill partiels sur disque. - Passage doctor :
openclaw doctordoit signaler chemin Node propre,~/.openclawinscriptible et contexte launchd. L'install Skills tourne sous le même utilisateur que Gateway ; la dérive PATH casse les hooks post-install. - Contexte workspace : avec plusieurs workspaces, décider maintenant lequel possède la liste enable Skill. Les installs cross-workspace sans
--workspacesont le top pattern support pour « skill installé mais Agent ne le voit pas ».
novakvm@m4pro-sg-01:~$ openclaw --version
openclaw 2026.5.2 (stable)
novakvm@m4pro-sg-01:~$ curl -fsS http://127.0.0.1:18789/health
{"status":"ok","gateway":"18789","skills":{"builtin":12,"clawhub":0,"uploaded":0}}
novakvm@m4pro-sg-01:~$ openclaw doctor --json | jq '.checks[] | select(.name|test("skills|disk|launchd"))'
[OK] skills.root writable (~/.openclaw/skills)
[OK] launchd PATH includes node and openclaw
[OK] disk free 412 GB (warn below 80 GB)
novakvm@m4pro-sg-01:~$ openclaw skill list --json | jq '.[] | {name,source,enabled,version}'
{"name":"file-tools","source":"builtin","enabled":true,"version":"2026.5.0"}
{"name":"browser-lite","source":"builtin","enabled":false,"version":"2026.5.0"}Trois shifts de schéma comptent en 2026.5.x versus builds 2026.4 précoces : la config Skills a migré sous un namespace skills.* dédié ; les paquets skill ClawHub sont versionnés indépendamment des plug-ins au nom proche ; les archives uploadées exigent un opt-in explicite via skills.install.allowUploadedArchives false par défaut sur installs fraîches. Traiter false comme défaut sécurisé ; ne basculer que sur hôtes où vous contrôlez les ACL upload.
[ SECTION_03 ] // BUILTIN_MATRIX Skills intégrés : quoi activer et quoi laisser désactivé
Les Skills intégrés livrent avec OpenClaw sans fetch ClawHub. La décision n'est pas « installer ou non » mais activer ou désactiver par workspace, en connaissant les compromis disque et sécurité.
| Famille Skill | Activer quand | Laisser off quand | Disque / risque |
|---|---|---|---|
| file-tools | Agents doivent lire/écrire fichiers workspace | Démo publique read-only sans accès fichier | Faible ; auditer scopes chemin en config |
| shell-exec | Automatisation dev, Agents runbook | Bots client sans sandbox | Élevé ; restreindre aux workspaces de confiance |
| browser-lite | Agents recherche, workflows formulaire | Gateway headless sans session GUI | Moyen ; cache sous skills/browser peut croître |
| http-fetch | Colle API sans plug-in custom | Allowlists egress strictes pas encore configurées | Faible réseau ; logger URLs sortantes |
| calendar-bridge | Planification ops interne | Hôte multi-tenant jusqu'à OAuth par workspace | Tokens dans l'arbre secrets |
novakvm@m4pro-sg-01:~$ openclaw skill enable file-tools --workspace acme
novakvm@m4pro-sg-01:~$ openclaw skill disable shell-exec --workspace acme
novakvm@m4pro-sg-01:~$ openclaw skill enable browser-lite --workspace internal
novakvm@m4pro-sg-01:~$ openclaw skill list --workspace acme --json | jq '.[] | select(.enabled==true) | .name'
"file-tools"
"http-fetch"
[WARN] shell-exec reste désactivé sur acme ; le workspace internal peut différer.Hygiène production : activer la plus petite surface d'outils qui satisfait le workflow. Un bot support qui ne répond qu'aux FAQ n'a pas besoin de shell-exec le jour un. Ajouter les Skills en fenêtres maintenance, snapshotter openclaw skill list --json avant et après, joindre le diff au ticket de changement, même discipline que les pins plug-in dans l'article multi-workspace.
[ SECTION_04 ] // CLAWHUB_SKILLS Skills communautaires ClawHub : installation, épinglage et rollback
ClawHub héberge des packs Skill communautaires distincts des entrées plug-in. Les noms entrent en collision ; toujours vérifier source: clawhub en JSON avant d'épingler. Le flux install miroir les plug-ins mais écrit sous ~/.openclaw/skills/clawhub/.
novakvm@m4pro-sg-01:~$ openclaw skill search notion-export --source clawhub
notion-export 1.3.1 (stable) — export pages vers markdown
notion-export 1.4.0-beta.2 (beta) — Block API v2
novakvm@m4pro-sg-01:~$ openclaw skill install notion-export@1.3.1 --workspace acme --channel stable
[OK] installed notion-export@1.3.1 → ~/.openclaw/skills/clawhub/notion-export/1.3.1
novakvm@m4pro-sg-01:~$ openclaw skill pin notion-export@1.3.1 --workspace acme
novakvm@m4pro-sg-01:~$ openclaw skill enable notion-export --workspace acme
novakvm@m4pro-sg-01:~$ launchctl kickstart -k gui/$(id -u)/ai.openclaw.gateway
novakvm@m4pro-sg-01:~$ curl -fsS http://127.0.0.1:18789/health | jq '.skills'
{"builtin":12,"clawhub":1,"uploaded":0}Rollback quand un Skill ClawHub casse prompts ou disque :
openclaw skill disable <name> --workspace <ws>pour empêcher les nouvelles sessions de binder l'outil.openclaw skill pin <name>@<old> --workspace <ws>pour verrouiller la version précédente.launchctl kickstart -k gui/$(id -u)/ai.openclaw.gatewayet revérifier/health.- Si migration schéma a corrompu l'état, retirer le dossier version sous
clawhub/<name>/seulement après archivage, jamais supprimer toute la racineskills/.
Pattern canary : installer Skills beta seulement sur workspace internal ou canary, faire 24 heures de prompts régression, puis promouvoir le pin vers workspaces production. Ne jamais laisser openclaw skill update --all tourner sans surveillance sur hôte multi-tenant.
[ SECTION_05 ] // PRIVATE_UPLOAD Archives Skill privées : chemin upload, allowUploadedArchives et frontières sécurité
Les équipes avec runbooks internes empaquettent souvent les Skills en archives zip, manifest plus définitions outils, plutôt que publier sur ClawHub. OpenClaw 2026.5.x supporte l'install upload quand les administrateurs fixent explicitement skills.install.allowUploadedArchives=true. False par défaut est intentionnel : les archives uploadées peuvent contenir des hooks shell.
- Gate config : fixer le flag allow dans
openclaw.jsonou viaopenclaw config set skills.install.allowUploadedArchives=true. Documenter qui a approuvé le changement ; coupler aux allowlists workspace si disponibles. - Zone d'atterrissage upload : les archives s'extraient vers
~/.openclaw/skills/uploaded/<workspace>/<skill-name>/<version>/. Un répertoire version par upload pour rollback propre. - Exigences manifest : le zip doit inclure
skill.manifest.jsonavec nom, version, définitions outils entry et déclarations permission optionnelles. Doctor valide le manifest avant enable. - Transport : utiliser
openclaw skill uploadsur l'hôte Gateway ou SCP zip vers staging puisopenclaw skill install --from-archive. Ne pas dézipper manuellement dans des chemins aléatoires ; mismatch hash casse enable. - Secrets : ne jamais embarquer de clés API dans les zips uploadés. Injecter via
~/.openclaw/secrets/<workspace>/.env.localet référencer noms env dans le manifest. - ACL : chmod 700 sur
uploaded/; restreindre la commande upload aux comptes opérateur ; auditer uploads dans tickets changement avec sha256 du zip.
novakvm@m4pro-sg-01:~$ openclaw config set skills.install.allowUploadedArchives=true
novakvm@m4pro-sg-01:~$ shasum -a 256 /tmp/acme-runbook-skill-2.1.0.zip
a4f8c2... /tmp/acme-runbook-skill-2.1.0.zip
novakvm@m4pro-sg-01:~$ openclaw skill upload /tmp/acme-runbook-skill-2.1.0.zip \
--workspace acme --name acme-runbook --version 2.1.0
[OK] extracted → ~/.openclaw/skills/uploaded/acme/acme-runbook/2.1.0
[OK] manifest validated (tools=4, permissions=file-read,shell-exec)
novakvm@m4pro-sg-01:~$ openclaw skill enable acme-runbook --workspace acme
novakvm@m4pro-sg-01:~$ openclaw skill list --workspace acme --json | jq '.[] | select(.source=="uploaded")'
{"name":"acme-runbook","source":"uploaded","enabled":true,"version":"2.1.0"}
[WARN] Couper allowUploadedArchives sur hôtes démo partagés après essais.Frontières sécurité à imposer en politique :
- Les Skills uploadés tournent sous le même utilisateur OS que Gateway ; sur Mac distants cet utilisateur ne devrait pas être admin.
- Séparer répertoires upload par workspace pour qu'un zip essai sur
pilotne fusionne jamais dans les listes outilsacme. - Scanner les zips en CI ; bloquer archives qui livrent blobs binaires sans revue source.
- Rotation ACL upload trimestrielle ; zips périmés s'accumulent et confondent la découverte outils Agent.
[ SECTION_06 ] // DISK_RUNBOOK_FAQ Découpage disque, placement six régions, matrice erreurs, runbook 12 étapes, cas réel, FAQ
Les Skills ajoutent un quatrième consommateur disque à côté des données workspace, caches plug-in et logs. Couchez les répertoires délibérément sur Mac distants pour qu'un disque plein ne mette pas Gateway offline mid-upload.
| Bucket chemin | Contenu | Régénérable ? | Pente hebdo (typique) |
|---|---|---|---|
skills/builtin/ |
Livré avec version OpenClaw | Oui, à l'upgrade | Plate sauf bump major |
skills/clawhub/ |
Packs communautaires, dossiers versionnés | Re-fetch sauf épinglé | 50–200 Mo par 5 packs |
skills/uploaded/ |
Zips privés, par workspace | Non, archiver en externe | 10–80 Mo par pack interne |
skills/cache/ |
Temp browser-lite, tampons fetch | Oui | 100 Mo–2 Go si usage navigateur lourd |
Paliers M4 versus M4 Pro : sur M4 24 Go / 512 Go, budgéter environ 2 Go pour arbres Skills et cache combinés avant nettoyage hebdo. Sur M4 Pro 48 Go / 1 To, cinq workspaces avec packs ClawHub et upload mixtes restent confortablement sous 8 Go empreinte Skills si rotation cache hebdo. Passer sous 80 Go libres sur tout palier et traiter comme bloquant install ; doctor devrait avertir, mais ne pas compter seulement sur les warnings ; cron df -h / vers votre stack métriques.
Placement six régions : l'install Skills est légère CPU et liée disque ; le choix région suit résidence données client et latence SSH opérateur, pas CDN fetch Skill. Singapour et Tokyo conviennent opérateurs APAC ; US-East et US-West Amériques ; Hong Kong et Séoul relient équipes transfrontalières. La latence aller-retour modèle domine encore le ressenti Agent ; les Skills ne corrigent pas un mauvais choix région.
| Symptôme | Cause probable | Premier fix |
|---|---|---|
| Skill installé, Agent ne voit aucun outil | Pas activé pour workspace actif | openclaw skill enable <name> --workspace <ws> plus redémarrage Gateway |
| Upload rejeté immédiatement | allowUploadedArchives false |
Config true, relancer upload, documenter approbation |
| Validation manifest échouée | skill.manifest.json manquant ou mal formé |
Corriger zip localement, bump version, re-upload |
| Boucle redémarrage Gateway après enable | Conflit schéma outil ou mauvais hook shell | Désactiver skill, logs sous ~/.openclaw/logs/, épingler version prior |
| Install ClawHub 404 | Nom est plug-in pas Skill, ou mauvais channel | openclaw skill search avec --source clawhub ; vérifier channel stable |
| Disque plein mid-install | Cache et anciennes versions skill non purgés | Purger skills/cache/, retirer versions non épinglées, étendre tier disque |
Cas réel (équipe ops indie anonymisée sur NOVAKVM M4 Pro) :
- Semaine 1 : Gateway seul, file-tools et http-fetch intégrés sur un workspace. Disque Skills sous 400 Mo.
- Semaine 4 : deux Skills ClawHub (notion-export, github-issue-triage) avec pins ; pente ~120 Mo/semaine surtout cache.
- Semaine 6 : zip privé acme-runbook après allowUploadedArchives ; manifest exigeait shell-exec, désactivé sur workspace client, activé seulement internal.
- Incident semaine 8 : upgrade beta ClawHub a cassé schéma outil ; rollback via pin plus disable a restauré le service en 12 minutes sans restore état complet.
Runbook Skills 12 étapes :
- Noter version OpenClaw et liste workspaces dans le ticket changement.
- Lancer doctor et
/health; abandonner si échec. - Snapshot
openclaw skill list --jsonversbefore-skills.json. - Décider enables intégrés par workspace avec matrice section 3.
- Pour ClawHub : search, install stable, pin, enable, un skill à la fois.
- Pour zip privé : vérifier sha256, confirmer approbation allowUploadedArchives, upload, valider sortie manifest.
- Enable seulement après revue manifest et permissions.
- Redémarrer Gateway avec launchctl kickstart ; attendre counts skills
/healthconformes. - Exécuter trois prompts régression invoquant chaque nouvelle surface outil.
- Snapshot
after-skills.jsonet diff contre before. - Noter usage disque :
du -sh ~/.openclaw/skills/*. - Checklist sortie : version, liste skill, health, disque libre au-dessus palier, puis fermer fenêtre.
Faits auditables :
- Port Gateway par défaut reste 127.0.0.1:18789 ;
/healthexpose counts skill par source quand endpoints readiness 2026.5.x activés. - Install fraîche 2026.5.x livre environ 12 familles Skill intégrées ; count exact varie par channel ; toujours faire confiance au JSON
skill listplutôt qu'aux snapshots blog. - Upload privé reste désactivé par défaut via
skills.install.allowUploadedArchives=falsejusqu'à opt-in opérateur. - Hôte trois workspaces typique avec ClawHub mixte et un pack upload : 1–3 Go sous
~/.openclaw/skills/après 60 jours hors cache navigateur agressif.
FAQ :
- Utiliser install plug-in pour un paquet npm type Skill ? Non ; vérifier d'abord le type catalogue.
skill searchversusplugin search. - Copier zips uploadés entre Mac distants ? Oui ; tar
skills/uploaded/plus flags config correspondants ; rejouer sur même major OpenClaw. - allowUploadedArchives affecte ClawHub ? Non ; gate seulement le chemin install archive locale.
- Combien de Skills ClawHub sur M4 512 Go ? Environ 8–10 packs épinglés avant de planifier cleanup cache ou passage 1 To.
- Gateway sain mais outil absent du chat ? Mismatch workspace ; confirmer workspace session correspond à la cible enable ; redémarrage seul ne corrige pas mauvais binding workspace.
Les Skills sont l'endroit où OpenClaw cesse d'être un relais messaging et devient une plateforme Agent de niveau opérateur. Cette puissance exige versions épinglées, politique upload explicite et couches disque inspectables en SSH, pas un portable qui dort et perd la moitié de l'arbre. Pour équipes faisant tourner Gateway 24/7 avec Skills intégrés, ClawHub et privés sur le même hôte, la location Mac mini bare metal NOVAKVM sur six régions offre chemins reproductibles, marge pour croissance cache et fenêtres maintenance répétables. Coller le runbook 12 étapes dans votre prochain ticket changement avant d'activer shell-exec sur un workspace client, et laisser allowUploadedArchives off jusqu'à signature ACL.