介绍如何在 Mac Mini 上部署 OpenClaw 开源 AI 智能体框架。内容涵盖硬件选型建议、系统环境优化(如禁用休眠、SSH 配置)、依赖安装(Homebrew、Node.js、Docker)、核心配置与安全加固(沙箱隔离、权限控制)、消息渠道集成(Telegram 等)以及生产级运维监控。旨在帮助用户利用 Apple Silicon 的高能效比构建本地化、隐私安全的 7x24 小时 AI 数字助理。
开源 AI 智能体 OpenClaw 已成为技术圈热门话题,社区成员众多。这款开源框架能将大语言模型的推理能力转化为真实的系统操作力:管理文件、执行终端指令、调用本地应用、连接多种通信渠道。
而 Mac Mini,特别是搭载 M4 芯片的最新款,凭借其极致能效、静音运行、统一内存架构三大特质,成为运行 OpenClaw 的公认理想宿主。本文将手把手教你将一台 Mac Mini 打造成全天候在线的 AI 数字管家,同时深入探讨安全加固、性能优化与生产级部署的最佳实践。
OpenClaw 并非简单的聊天机器人,而是一个具备系统级权限的自主执行框架:
其核心设计哲学是本地优先执行,兼顾隐私保护与低延迟。
① 极致能效比:M4 芯片待机功耗极低,典型负载下功耗较低,24×7 运行成本可控。相比 GPU 服务器动辄数百瓦的功耗,优势极其明显。
② 统一内存架构:Apple Silicon 采用 CPU 与 GPU 共享内存池的设计,消除了数据在系统 RAM 与显存之间穿梭的性能瓶颈。这意味着:
③ 真正的静音运行:M4 风扇转速维持在较低水平,录音棚级别的用户实测几乎听不见。这对于需要放置在家/办公室的 24 小时运行设备至关重要。
④ iMessage 独家支持:OpenClaw 的 iMessage 集成需要 macOS 环境,Mac Mini 是唯一可行的硬件方案。
| 配置项 | 最低要求 | 推荐配置 | 说明 |
|---|---|---|---|
| 芯片 | M1 | M4/M4 Pro | M4 的神经网络引擎大幅提升本地推理能力 |
| 内存 | 16GB | 32GB/64GB | 16GB 是基本流畅线,64GB 可运行大型本地模型 |
| 存储 | 256GB | 512GB/1TB | 系统占用 + 日志缓存,本地模型需额外空间 |
| 网络 | Wi-Fi | 有线以太网 | 7×24 运行必须使用有线连接保证稳定性 |
重要提示:如果仅使用云端 API(如 Claude/GPT),16GB M4 完全足够;如需运行本地模型,建议直接上 64GB。
在开始安装前,需要对 Mac Mini 进行'服务器化'配置:
① 禁用休眠
# 查看当前休眠设置
pmset -g
# 禁用休眠(7×24 运行必需)
pmset -asleep0
pmset -a disksleep 0
pmset -a displaysleep 30
# 仅关闭显示器
② 启用 SSH 远程管理
系统设置 → 通用 → 共享③ 创建独立用户账户 为 OpenClaw 创建专用的标准用户(非管理员),实现权限隔离:
系统设置 → 用户与群组 → 添加账户④ 安装必要工具
# 安装 Homebrew(包管理器)
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
# 安装 Node.js 22+(OpenClaw 核心依赖)
brew install node@22
echo 'export PATH="/usr/local/opt/node@22/bin:$PATH"' >> ~/.zshrc
source ~/.zshrc
# 验证安装
node --version
npm --version
# 安装 Git(可选,用于技能插件管理)
brew install git
# 安装 Docker Desktop(强烈推荐用于沙箱隔离)
brew install --cask docker
为何需要 Docker?OpenClaw 官方安全指南建议将高风险指令(Bash 命令、文件写入)隔离在容器内运行,防止 AI 误操作损害宿主机。
24×7 运行的 OpenClaw 需要连接多种外设:键盘鼠标(调试用)、外置硬盘(模型存储)、显示器(监控)、网线等。Mac Mini 有限的端口很快会成为瓶颈。
推荐配置:Type-C 扩展坞
外置存储优势:将 OpenClaw 的所有数据(模型权重、会话日志、缓存文件)放在外置 SSD 上,既延长内置 SSD 寿命,又方便备份和迁移。
# 使用官方安装脚本(自动处理依赖)
curl -fsSL https://openclaw.ai/install.sh | bash
安装过程中会提示:
# 全局安装最新版
npm install -g openclaw@latest
# 验证安装
openclaw --version
openclaw onboard --install-daemon
配置向导将引导完成以下步骤:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1 | 选择安装模式 | 选择'Local/self-hosted' |
| 2 | 配置模型提供商 | 可选择 OpenAI/Anthropic/Ollama 本地模型 |
| 3 | 输入 API 密钥 | 根据选择的提供商填写 |
| 4 | 选择默认模型 | 推荐 Claude 3.5 Sonnet(工具调用能力最稳健) |
| 5 | 连接消息平台 | 选择 Telegram/WhatsApp 等(建议至少配置一个) |
| 6 | 安装后台守护 | 选择 Yes,让 OpenClaw 随系统启动 |
重要提示:如果使用 Ollama 本地模型,需先启动 Ollama 服务并确认 API 地址(默认
http://localhost:11434),配置方式可参考官方文档。
安装完成后,核心配置文件位于用户目录下:
~/.openclaw/
├── .env # 环境变量(API 密钥、工作路径)
├── config.yaml # 主配置文件
├── agents/ # 智能体配置
│ └── main/ # 默认智能体
└── logs/ # 日志文件
└── audit.log # 敏感操作审计日志
必须修改的配置项:
# 编辑.env 文件
nano ~/.openclaw/.env
# API 密钥(根据实际使用的提供商填写)
ANTHROPIC_API_KEY=sk-xxxxxxxxxxxxx
# OPENAI_API_KEY=sk-xxxxxxxxxxxxx
# Telegram 配置(用于远程控制)
TG_BOT_TOKEN=1234567890:ABCDEFghijklmnopqrstuvwxyz
ALLOWED_USER_IDS=123456789 # 仅允许指定用户 ID 访问,防入侵
# 工作路径隔离
WORKSPACE_PATH="/Users/openclaw-agent/openclaw_workspace" # 限制 AI 可操作目录
# 代理配置(国内用户必需)
HTTPS_PROXY=http://127.0.0.1:7890
# 编辑 config.yaml
nano ~/.openclaw/config.yaml
gateway:
bind: "loopback" # 仅监听本地,防止外部访问
port: 18789 # Web 管理界面端口
auth:
mode: "token" # 强制令牌认证
sandbox:
use_docker: true # 启用 Docker 沙箱隔离
docker_image: "openclaw/sandbox:latest"
messaging:
channels:
telegram:
dmPolicy: "pairing" # 新用户需批准,不用"open"
OpenClaw 拥有系统级权限,安全是不可妥协的前提。即使配置为本地访问,仍可能存在安全风险。安全审计发现市场上存在恶意技能,可能窃取凭证或实施攻击。
① macOS 防火墙与加密
# 开启防火墙
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on
# 开启 FileVault 磁盘加密(系统设置 → 隐私与安全性)
② 运行安全审计
openclaw security audit --deep
定期运行此命令检查配置漏洞。
③ 监控出站连接 安装网络监控工具(如 LuLu,免费开源),观察 OpenClaw 的所有外连请求。正常运行时应仅连接:
方案 A:Docker 沙箱(推荐)
在config.yaml中启用use_docker: true后,所有 Bash 命令和文件写入操作将在隔离容器内执行。即使 AI 被诱导执行危险命令,也不会伤及宿主机。
方案 B:独立用户账户
我们已在第 2 步创建了openclaw-agent标准账户。切换至该账户运行 OpenClaw:
# 切换到专用账户
su - openclaw-agent
# 在该账户下重复安装步骤
curl -fsSL https://openclaw.ai/install.sh | bash
方案 C:外置存储隔离 将所有 AI 相关数据放在外置 SSD 上,与系统盘物理隔离。配置文件中指定:
WORKSPACE_PATH="/Volumes/AIWorkspace/openclaw"
方案 D:虚拟机隔离(最高级别) 使用 UTM 创建 macOS 虚拟机,启用'Isolate Guest from Host'选项。OpenClaw 运行在虚拟机内,完全隔离于宿主机。
绝对禁止 OpenClaw 访问以下目录:
~/.ssh/ —— SSH 密钥~/Library/Keychains/ —— 系统钥匙串~/.gnupg/ —— GPG 密钥~/.aws/ —— AWS 凭证~/Documents/ —— 个人文档(建议单独划分子集)攻击活动专门针对配置文件和浏览器密码,务必重视。
Telegram 是 OpenClaw 官方推荐的控制渠道,推送可靠、跨平台。
① 创建 Telegram Bot
@BotFather/newbot,按提示设置名称和用户名1234567890:ABCdefGHIjklMNOpqrsTUVwxyz)② OpenClaw 中连接
openclaw channels login --channel telegram
终端会显示二维码和链接,用 Telegram 扫码即可。
③ 获取用户 ID 并限制 向你的 Bot 发送任意消息,然后访问:
https://api.telegram.org/bot<你的 Token>/getUpdates
返回 JSON 中的from.id即你的用户 ID,填入.env的ALLOWED_USER_IDS。
http://localhost:18789,使用openclaw onboard生成的令牌登录禁止直接将 18789 端口暴露到公网。推荐使用 Tailscale 搭建零信任网络:
# 安装 Tailscale
brew install tailscale
sudo tailscale up
# 在 Tailscale 管理后台启用 MAC 地址认证
# 现在可通过 Tailscale 分配的 IP 远程访问
此方案无需开放公网端口,且自带设备认证。
OpenClaw 的--install-daemon已自动创建 LaunchAgent,确保:
手动管理命令:
# 查看服务状态
launchctl list | grep openclaw
# 手动启动/停止
launchctl start ~/Library/LaunchAgents/ai.openclaw.agent.plist
launchctl stop ~/Library/LaunchAgents/ai.openclaw.agent.plist
① 日志监控
# 实时查看日志
tail -f ~/.openclaw/logs/audit.log
# 检查错误
grep -i error ~/.openclaw/logs/*.log
② 系统资源监控 通过连接扩展坞的显示器,运行 Activity Monitor 监控:
③ 定期维护清单
| 频率 | 任务 |
|---|---|
| 每日 | 快速浏览 audit.log,确认无异常指令 |
| 每周 | 清理缓存目录,检查磁盘剩余空间 |
| 每月 | 更新 OpenClaw:npm update -g openclaw |
| 每月 | 轮换 API 密钥(重新生成并更新.env) |
| 每季 | 测试备份恢复,验证数据完整性 |
① 模型路由策略
如果同时使用云端 API 和本地模型,可配置路由策略:简单任务走本地小模型(低成本低延迟),复杂任务走云端 Claude。需在config.yaml中定义多个模型提供商。
② Heartbeat 机制 在生产环境中,不要每步都调用大模型。设置'心跳检查'逻辑:先运行轻量级规则判断,仅在模糊状态才调用 LLM。可大幅降低 API 成本和延迟。
③ 并发控制
在.env中设置:
MAX_CONCURRENT_TASKS=3
TOOL_TIMEOUT_SECONDS=30
避免 AI 同时发起过多请求导致系统过载。
配置完成后,在 Telegram 中发送:
你好,帮我看看桌面上有哪些文件?
OpenClaw 应能:
ls命令列出桌面文件尝试一个真实自动化场景:
我下周要去上海出差 3 天。请帮我:
1. 在日历上创建行程(6 月 1 日 -3 日)
2. 查询这三天的天气预报
3. 生成一个行李清单建议
4. 把所有内容整理成邮件草稿
如果配置得当,OpenClaw 会依次:
当任务失败时,检查:
# 查看详细日志
openclaw logs --level debug
# 测试工具调用
openclaw tool call --tool fs.list --args '{"path": "~/Desktop"}'
# 查找占用进程
lsof -i :18789
# 终止该进程或修改 config.yaml 中的端口
.env中的TG_BOT_TOKEN是否正确ALLOWED_USER_IDS包含你的用户 IDgrep telegram ~/.openclaw/logs/*docker psconfig.yaml中sandbox.use_docker是否为 truedocker pull openclaw/sandbox:latest# .env 中配置代理(需自行搭建)
HTTPS_PROXY=http://127.0.0.1:7890
HTTP_PROXY=http://127.0.0.1:7890
参考官方文档,修改~/.openclaw/agents/main/agent/models.json中的maxContextLength字段为 32768 或更大。
# 完全卸载
openclaw uninstall
# 删除配置目录(谨慎!)
rm -rf ~/.openclaw
通过 Ollama 部署本地模型,在 OpenClaw 中配置:
openclaw model add --provider openai \
--base-url http://localhost:11434/v1 \
--api-key ollama \
--model minimax-m2.5:32k
实现完全本地化推理,零 API 费用。
OpenClaw 支持自定义 Skills,用 TypeScript 编写后放入~/.openclaw/skills/即可。例如开发一个'飞书消息发送'技能,让 AI 能直接在工作群汇报任务状态。
如果不愿自购硬件,可使用云服务商提供的 Mac 实例,按小时计费。可先在云端验证 PoC,再决定是否自建。
对于仅需核心调度功能的场景,可关注 PicoClaw(Go 重写,内存<10MB)和 ZeroClaw(Rust 重写,内存<5MB)。它们能在树莓派等低功耗设备上运行,彻底摆脱对 Mac Mini 的依赖——但需注意,本地模型推理仍需 GPU 服务器。
通过本文的详细步骤,你将一台 Mac Mini 成功改造为7×24 小时全天候在线的 AI 数字管家。它具备以下能力:
OpenClaw 的核心设计哲学——'本地优先执行'——正在重新定义个人 AI 助手的边界。它不再是被动的问答机器人,而是主动的、具备系统级操作能力的智能体,能真正帮你'搞定事情'。
从今天起,你拥有了属于自己的 AI 助手。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online