OpenClaw 在 macOS 主力机的安全部署与配置

$ openclaw onboard --install-daemon

风险声明

首先是风险提示，了解选 yes。

大模型接入

然后是选大模型厂商，这里选用国内的 Zhipu。有钱可以选择 Claude Opus 4.6 或 GPT-5.3 Codex。

只需要填写 API key 和选择模型型号。

另外，初始化时选择'Ollama'提供商，即可实现'本地大模型无 API Key、零延迟响应、全本地闭环'，处理极度敏感数据时无需担心泄露风险。

远程控制信道

选择和 Claw 进行远程控制的 Channel，选择国内的飞书。

但是安装失败了，后来了解到官方的飞书插件刚上线不久，还有一些坑。所以后面会考虑使用第三方的稳定插件。

Skills

开始选择需要安装的 Skills。

推荐安装以下 Skills，但有些对 MacOS 版本有要求，按需选择。

• apple-notes：集成 macOS 的 memo 命令行工具，自动化管理苹果备忘录，支持创建、查看、编辑、删除、搜索、移动等操作。
• apple-reminders：集成 macOS 的 remindctl 命令行工具，自动化管理苹果提醒事项，支持列清单、添加、编辑、标记完成、删除等操作。
• things-mac：集成 macOS 待办应用 Things 的 CLI 工具，管理 Things 任务，支持创建、标记完成、分类、规划等操作。
• clawhub：集成 ClawHub 命令行工具，是 OpenClaw 的'插件市场'，支持搜索、安装、更新、发布 OpenClaw Skills 插件。
• obsidian：集成 Obsidian 笔记应用的 CLI 工具，管理 Obsidian 库，支持创建笔记、搜索、链接等操作。
• nano-pdf：轻量级 PDF 处理 CLI 工具，支持自动化拆分、合并、转换 PDF，提取文本或图片等操作。
• summarize：文本摘要 CLI 工具，支持自动生成长文本的摘要、提取关键信息等操作。
• github：集成 GitHub 官方的 gh CLI 工具，与 GitHub 交互，支持管理 Issues、PR、工作流、调用 API 等操作。
• model-usage：AI 模型用量监控工具，统计 OpenAI/Gemini 等模型的调用次数、消耗额度等。
• peekaboo：监控工具，自动化监控文件、进程、服务，实时查看状态。
• blogwatcher：Blog、RSS、Atom 订阅监控，24 小时自动追踪指定资讯源的更新，当有新文章发布时自动触发系列操作，包括生成摘要、推送通知、归档等，帮你高效管理信息输入，避免错过关键内容。
• mcporter：文件、数据迁移 CLI 工具，支持跨存储、跨平台传输文件、配置等。

Skills 的安装过程中有些因为个重要原因没成功，这些都不着急，后面再解决。

下面是一些 Skills 需要的配置，没有安装对应 Skills 的话直接 NO 即可。

系统 Hooks 配置

这些 Hooks（钩子）是 OpenClaw Gateway 在特定运行阶段会触发的钩子功能，用来定制、监控、增强 OpenClaw 的基础行为。

• boot-md 启动初始化钩子：Gateway 启动时，自动执行 BOOT.md 文件中的指令。相当于 OpenClaw 的'开机自启脚本'，可用来初始化环境、加载自定义参数、启动依赖服务（比如自动连接飞书）、设置默认 Skills 等。
• command-logger 命令日志钩子：全程记录 Gateway 执行的所有操作，包括 Skills 的 CLI 命令、用户输入、返回结果、错误信息等，并按规则输出到日志文件中。核心用途是审计操作记录、排查自动化故障、复盘执行流程。
• session-memory 会话记忆钩子：持久化保存 Gateway 的会话状态，比如已执行的操作步骤、Skills 调用上下文、用户临时参数等。使得 Gateway 重启后也能恢复之前的会话上下文，不用重新执行前置操作，适合长流程自动化。

建议全部安装。

启动 Gateway Service 守护进程

OpenClaw Gateway 是唯一中央控制平面守护进程，非常重要。

• 配置文件：~/.openclaw/openclaw.json
• 日志文件：/Users/fanguiju/.openclaw/logs/gateway.log

跨设备功能扩展

Optional apps 是 OpenClaw 提供的跨设备功能扩展选项，所谓的 nodes（节点）其实是 OpenClaw 的跨设备功能模块，包括 macOS、iOS、Android 这三种类型。每个 app node 对应一个设备，添加 nodes 后能让 OpenClaw 和这些设备进行联动操作，解锁额外的跨设备功能。

macOS 模块侧重系统集成和通知，iOS/Androi 则侧重相机和画布调用：

1. macOS app (system + notifications)：添加后，OpenClaw 能深度联动 MacOS，包括调用系统级权限、触发 MacOS 原生通知，例如博客更新时直接在 MacOS 通知栏进行提醒、调用 MacOS 系统命令等。
2. iOS app (camera/canvas)：添加后，OpenClaw 能联动 iPhone/iPad，调用设备的相机，例如自动拍照并传给 OpenClaw 处理；调用设备的 canvas（画布），例如在 iOS 画布上标注内容后同步给 OpenClaw 分析。
3. Android app (camera/canvas)：和 iOS 类似。

建议都安装，给与 OpenClaw 合适的操作权限，使其成为全能助手。

macOS 开启后，会接受到系统的安全提示通知 Background Items Added，名为 node 的程序被添加为了'后台运行项'。macOS 出于安全考虑，会对所有新增的后台运行程序弹出这个提示，避免未经授权的程序偷偷后台运行。我们可以在'登录项设置'里管理它的后台运行权限。

如果想确认或调整权限，按以下步骤操作：

1. 打开 macOS'系统设置'；
2. 左侧菜单栏下滑，找到'通用'，点击'登录项'；
3. 在'Background Items'列表里，能看到 node 相关条目；
4. 点击条目右侧的开关，即可开启或关闭 node 的后台运行权限。

推荐开启：保留 node 的后台运行权限，这样 OpenClaw 的自动化功能（比如定时监控博客、自动推送通知）才能正常工作；

Token 身份鉴权

Token（令牌）是外部访问 OpenClaw Gateway API 和 Web UI 的身份凭证。持有 Token 后才能访问我的 OpenClaw，防止别人未授权使用。

保存 Token 的位置有 2 个：

1. ~/.openclaw/openclaw.json 中的 gateway.auth.token；
2. 也可以通过系统环境变量 OPENCLAW_GATEWAY_TOKEN 来指定，优先级更高。

查看 Token 的指令：

$ openclaw config get gateway.auth.token

重新生成 Token 的指令：

$ openclaw doctor --generate-gateway-token

WebUI 登陆

启动 Web UI：

$ openclaw dashboard

第一次登陆 WebUI 会需要输入 Token，也可以直接粘贴带有 Token 的 WebUI URL。第一次登录后，浏览器会把令牌副本存在 localStorage，Key 为 openclaw.control.settings.v1，下次打开 Web UI 不用重复输入 Token 了。

TUI 登陆

TUI（Terminal User Interface）是类似 Claude Code、Gemini CLI 风格的操作界面，更适合程序员。

重新进入 TUI 界面：

$ openclaw tui

值得注意的是，TUI 目前只会直接给出结果而没有过程，但你可以在 WebUI 中看见执行过程。例如：

WebUI 有过程和结果

TUI 只有结果

机器人角色塑造

选择使用 TUI 之后就开始输入第一个 Prompt 了'Wake up, my friend!'，有回复后就进入了 OpenClaw 机器人的'调教'阶段。这个是机器人 Cosplay 的核心配置环节，非常重要，不要着急，提供给机器人的信息越多，那么你以后得到的体验就越好。

上述对机器人的配置会被保存在下列文件中，后续也可以继续修改：

~/.openclaw/workspace/USER.md # 主人角色定义
~/.openclaw/workspace/IDENTITY.md # 机器人角色定义
~/.openclaw/workspace/SOUL.md # 机器人灵魂定义

参考样例：https://mp.weixin.qq.com/s/Sogu-nKXqhHrge-oyuu9Dw

进程和端口

安装成功后的进程和端口如下，核心的守护进程是 openclaw-gateway，默认端口为 TCP 18789。

进程：

$ ps -ef | grep openclaw
50171488101:17PM ?? 0:18.09 openclaw-gateway
5015753650334012:33PM ttys000 0:00.35 openclaw
5015778657536012:33PM ttys000 0:22.74 openclaw-onboard

端口：

$ lsof -i -P | grep -i node | grep -v grep
COMMAND PID FD TYPE DEVICE SIZE/OFF NODE NAME
node 57786 11u IPv4 0x8d34e56895853e31 0t0 TCP localhost:53041->localhost:18789 (ESTABLISHED)
node 71488 15u IPv4 0x8d34e5689612d451 0t0 TCP localhost:18789 (LISTEN)
node 71488 16u IPv6 0x8d34e55efeb3ee29 0t0 TCP localhost:18789 (LISTEN)
node 71488 18u IPv4 0x8d34e56896e4d6b1 0t0 TCP localhost:18792 (LISTEN)
node 71488 19u IPv4 0x8d34e56d640946e9 UDP *:5353
node 71488 21u IPv4 0x8d34e56d64b5bae9 UDP *:5353
node 71488 22u IPv4 0x8d34e56895c2be31 0t0 TCP localhost:18789->localhost:53041 (ESTABLISHED)
node 71488 29u IPv4 0x8d34e56896497321 0t0 TCP localhost:18789->localhost:61026 (ESTABLISHED)
node 71488 31u IPv4 0x8d34e56896d9f581 0t0 TCP localhost:18789->localhost:61003 (ESTABLISHED)
node 71488 33u IPv4 0x8d34e56895cedf61 0t0 TCP localhost:18789->localhost:63268 (ESTABLISHED)

Docker Compose 部署（可选的）

在 Linux 生产环境中推荐使用 Docker Compose，因为 MacOS Skills 肯定用不了了，容器化能带来更好的安全隔离。

克隆仓库：

git clone https://github.com/openclaw/openclaw.git
cd openclaw
git checkout v2026.2.9
git switch -c v2026.2.9

查看原始 docker-compose.yml：

services:
  openclaw-gateway:
    image: ${OPENCLAW_IMAGE:-openclaw:local}
    environment:
      HOME: /home/node
      TERM: xterm-256color
      OPENCLAW_GATEWAY_TOKEN: ${OPENCLAW_GATEWAY_TOKEN}
      CLAUDE_AI_SESSION_KEY: ${CLAUDE_AI_SESSION_KEY}
      CLAUDE_WEB_SESSION_KEY: ${CLAUDE_WEB_SESSION_KEY}
      CLAUDE_WEB_COOKIE: ${CLAUDE_WEB_COOKIE}
    volumes:
      - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
      - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
    ports:
      - "${OPENCLAW_GATEWAY_PORT:-18789}:18789"
      - "${OPENCLAW_BRIDGE_PORT:-18790}:18790"
    init: true
    restart: unless-stopped
    command: ["node", "dist/index.js", "gateway", "--bind", "${OPENCLAW_GATEWAY_BIND:-lan}", "--port", "18789"]
  openclaw-cli:
    image: ${OPENCLAW_IMAGE:-openclaw:local}
    environment:
      HOME: /home/node
      TERM: xterm-256color
      OPENCLAW_GATEWAY_TOKEN: ${OPENCLAW_GATEWAY_TOKEN}
      BROWSER: echo
      CLAUDE_AI_SESSION_KEY: ${CLAUDE_AI_SESSION_KEY}
      CLAUDE_WEB_SESSION_KEY: ${CLAUDE_WEB_SESSION_KEY}
      CLAUDE_WEB_COOKIE: ${CLAUDE_WEB_COOKIE}
    volumes:
      - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw
      - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace
    stdin_open: true
    tty: true
    init: true
    entrypoint: ["node", "dist/index.js"]

手动部署：

# 1. 构建镜像
docker build -t openclaw:local -f Dockerfile .
# 2. 运行配置向导
docker compose run --rm openclaw-cli onboard
# 3. 启动 Gateway
docker compose up -d openclaw-gateway
# 4. 获取控制面板链接
docker compose run --rm openclaw-cli dashboard --no-open
# 5. 查看并授权设备
docker compose run --rm openclaw-cli devices list
docker compose run --rm openclaw-cli devices approve <requestId>

（可选的）也可以一键自动完成部署：

# 额外挂载目录
export OPENCLAW_EXTRA_MOUNTS="$HOME/.codex:/home/node/.codex:ro"
# 持久化 home 目录
export OPENCLAW_HOME_VOLUME="openclaw_home"
# 一键部署
./docker-setup.sh

脚本 docker-setup.sh 会自动完成：

1. 构建 Gateway 镜像
2. 运行 Onboarding
3. 启动 Docker Compose
4. 生成认证 Token

Gateway 将运行在 http://127.0.0.1:18789/

对接飞书

创建飞书机器人应用

登录飞书开放平台：https://open.feishu.cn/ 创建自建应用，命名为 OpenClaw。

给应用添加一个机器人，这个机器人在飞书上可以和他聊天，这个机器人后面要对接到真正的 OpenClaw。

为应用 OpenClaw 开通所有 IM（即时通信）权限，首先要创建机器人。例如：

• im:message：发送和接收消息
• im:message.p2p_msg:readonly：读取私聊消息
• im:message.group_at_msg:readonly：接收群内 @ 消息
• im:message:send_as_bot：机器人身份发送消息
• im:resource：上传/下载图片和文件

等等

安装飞书通道插件

在 OpenClaw 上安装 feishu Channels 插件。使用比较稳定的第三方插件：https://github.com/m1heng/Clawdbot-feishu

openclaw plugins install @m1heng-clawd/feishu

配置 feishu 插件使用刚刚创建的 OpenClaw 应用，填写 AppID 和 AppSecret。这样 OpenClaw 就可以和飞书建立 Channel 了。

openclaw config set channels.feishu.appId "cli_xxxxx"
openclaw config set channels.feishu.appSecret "your_app_secret"
openclaw config set channels.feishu.enabled true

配置飞书消息事件回调

配置飞书消息事件回调，使得 OpenClaw 应用可以接收到 OpenClaw 机器人发过来的消息，然后再转发给飞书聊条框。 注意使用长连接接收事件，这样 OpenClaw 可以随时通知你。

添加一个接收到消息就触发回调的事件。

为 OpenClaw 应用开启获取通讯录基本信息的权限。

配置好后发布 OpenClaw 应用的版本。

聊天测试

重启 OpenClaw Gateway 可以看见飞书开放平台上的 OpenClaw 应用作为 WebSocket Client 已经 Ready 了。

使用飞书开始和 OpenClaw 聊天。

每次通信都会有日志记录。

相关资源

• 官网：https://openclaw.ai/
• 安装手册：https://docs.openclaw.ai/start/getting-started
• Github：https://github.com/openclaw/openclaw
• 技能合集：https://github.com/VoltAgent/awesome-openclaw-skills
• 一键部署工具：https://github.com/miaoxworld/OpenClawInstaller
• 汉化版：https://github.com/1186258278/OpenClawChineseTranslation
• 飞书独立桥接器：https://github.com/AlexAnys/feishu-openclaw