Mac Mini 部署 OpenClaw 智能体实战指南

③ 创建独立用户账户

为 OpenClaw 创建专用的标准用户（非管理员），实现权限隔离：

• 系统设置 → 用户与群组 → 添加账户
• 账户类型选择'标准'，命名为'openclaw-agent'

④ 安装必要工具

# 安装 Homebrew（包管理器）
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
# 安装 Node.js 22+（OpenClaw 核心依赖）
brew install node@22
echo 'export PATH="/usr/local/opt/node@22/bin:$PATH"' >> ~/.zshrc
source ~/.zshrc
# 验证安装
node --version
npm --version
# 安装 Git（可选）
brew install git
# 安装 Docker Desktop（强烈推荐用于沙箱隔离）
brew install --cask docker

为何需要 Docker？OpenClaw 官方安全指南建议将高风险指令隔离在容器内运行，防止 AI 误操作损害宿主机。

2.2 硬件扩展建议

24×7 运行的 OpenClaw 需要连接多种外设。Mac Mini 有限的端口很快会成为瓶颈。

推荐配置：USB-C 扩展坞

• 内置 NVMe SSD 插槽，用于存储 AI 模型和日志
• 多个 USB-A/USB-C 端口，减少设备插拔
• 底部贴合设计，不额外占用桌面空间

外置存储优势：将 OpenClaw 的所有数据放在外置 SSD 上，既延长内置 SSD 寿命，又方便备份和迁移。

三、OpenClaw 安装与核心配置

3.1 一键安装（推荐）

# 使用官方安装脚本（自动处理依赖）
curl -fsSL https://openclaw.ai/install.sh | bash

安装过程中会提示确认风险、选择安装模式及下载依赖。

3.2 替代方案：npm 安装

# 全局安装最新版
npm install -g openclaw@latest
# 验证安装
openclaw --version

3.3 运行配置向导

openclaw onboard --install-daemon

配置向导将引导完成以下步骤：

3.4 关键配置文件解析

安装完成后，核心配置文件位于用户目录下：

~/.openclaw/
├── .env # 环境变量（API 密钥、工作路径）
├── config.yaml # 主配置文件
├── agents/ # 智能体配置
│   └── main/ # 默认智能体
└── logs/ # 日志文件
    └── audit.log # 敏感操作审计日志

必须修改的配置项：

# 编辑.env 文件
nano ~/.openclaw/.env

# API 密钥（根据实际使用的提供商填写）
ANTHROPIC_API_KEY=sk-xxxxxxxxxxxxx
# OPENAI_API_KEY=sk-xxxxxxxxxxxxx
# Telegram 配置（用于远程控制）
TG_BOT_TOKEN=1234567890:ABCDEFghijklmnopqrstuvwxyz
ALLOWED_USER_IDS=123456789 # 仅允许指定用户 ID 访问，防入侵
# 工作路径隔离
WORKSPACE_PATH="/Users/openclaw-agent/openclaw_workspace"
# 代理配置（国内用户必需）
HTTPS_PROXY=http://127.0.0.1:7890

# 编辑 config.yaml
nano ~/.openclaw/config.yaml

gateway:
  bind: "loopback" # 仅监听本地，防止外部访问
  port: 18789 # Web 管理界面端口
auth:
  mode: "token" # 强制令牌认证
sandbox:
  use_docker: true # 启用 Docker 沙箱隔离
  docker_image: "openclaw/sandbox:latest"
messaging:
  channels:
    telegram:
      dmPolicy: "pairing" # 新用户需批准

四、安全加固：从'能用'到'安全'

OpenClaw 拥有系统级权限，安全是不可妥协的前提。即使配置为本地访问，仍可能存在安全风险。

4.1 基础安全配置

① macOS 防火墙与加密

# 开启防火墙
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on
# 开启 FileVault 磁盘加密（系统设置 → 隐私与安全性）

② 运行安全审计

openclaw security audit --deep

定期运行此命令检查配置漏洞。

③ 监控出站连接

安装网络监控工具（如 LuLu），观察 OpenClaw 的所有外连请求。正常运行时应仅连接 AI 提供商、消息平台和已安装技能的目标 API。

4.2 高级隔离方案

方案 A：Docker 沙箱（推荐） 在 config.yaml 中启用 use_docker: true 后，所有 Bash 命令和文件写入操作将在隔离容器内执行。

方案 B：独立用户账户 切换至专用账户运行 OpenClaw：

# 切换到专用账户
su - openclaw-agent
# 在该账户下重复安装步骤
curl -fsSL https://openclaw.ai/install.sh | bash

方案 C：虚拟机隔离（最高级别） 使用 UTM 创建 macOS 虚拟机，启用'Isolate Guest from Host'选项。

4.3 敏感文件黑名单

绝对禁止 OpenClaw 访问以下目录：

• ~/.ssh/ —— SSH 密钥
• ~/Library/Keychains/ —— 系统钥匙串
• ~/.gnupg/ —— GPG 密钥
• ~/.aws/ —— AWS 凭证
• ~/Documents/ —— 个人文档

五、消息渠道配置与远程控制

5.1 Telegram 配置（最稳定）

Telegram 是 OpenClaw 官方推荐的控制渠道，推送可靠、跨平台。

① 创建 Telegram Bot

1. 在 Telegram 中搜索 @BotFather
2. 发送 /newbot，按提示设置名称和用户名
3. 收到 API Token

② OpenClaw 中连接

openclaw channels login --channel telegram

终端会显示二维码和链接，用 Telegram 扫码即可。

③ 获取用户 ID 并限制

向你的 Bot 发送任意消息，然后访问：

https://api.telegram.org/bot<你的 Token>/getUpdates

返回 JSON 中的 from.id 即你的用户 ID，填入 .env 的 ALLOWED_USER_IDS。

5.2 其他渠道

• WhatsApp：需安装 WhatsApp Business，通过'Linked Devices'扫码
• iMessage：仅 macOS 支持，可实现 Apple 生态整合
• Web 界面：访问 http://localhost:18789，使用令牌登录

5.3 远程访问（VPN 方案）

禁止直接将 18789 端口暴露到公网。推荐使用 Tailscale 搭建零信任网络：

# 安装 Tailscale
brew install tailscale
sudo tailscale up
# 在 Tailscale 管理后台启用 MAC 地址认证
# 现在可通过 Tailscale 分配的 IP 远程访问

此方案无需开放公网端口，且自带设备认证。

六、生产级部署与运维

6.1 系统服务管理

OpenClaw 的 --install-daemon 已自动创建 LaunchAgent，确保开机自启、崩溃后自动重启。

手动管理命令：

# 查看服务状态
launchctl list | grep openclaw
# 手动启动/停止
launchctl start ~/Library/LaunchAgents/ai.openclaw.agent.plist
launchctl stop ~/Library/LaunchAgents/ai.openclaw.agent.plist

6.2 监控与告警

① 日志监控

# 实时查看日志
tail -f ~/.openclaw/logs/audit.log
# 检查错误
grep -i error ~/.openclaw/logs/*.log

② 系统资源监控

通过 Activity Monitor 监控 CPU/内存使用率、磁盘活动及网络连接状态。

③ 定期维护清单

6.3 性能优化

① 模型路由策略 简单任务走本地小模型，复杂任务走云端模型。需在 config.yaml 中定义多个模型提供商。

② Heartbeat 机制 设置'心跳检查'逻辑，仅在模糊状态才调用 LLM，降低 API 成本和延迟。

③ 并发控制 在 .env 中设置：

MAX_CONCURRENT_TASKS=3
TOOL_TIMEOUT_SECONDS=30

避免 AI 同时发起过多请求导致系统过载。

七、实战演练：一句话触发复杂任务

7.1 基础测试

配置完成后，在 Telegram 中发送：

你好，帮我看看桌面上有哪些文件？

OpenClaw 应能理解指令意图，调用 ls 命令列出桌面文件，并将结果整理成自然语言返回。

7.2 复杂任务测试

尝试一个真实自动化场景：

我下周要去上海出差 3 天。请帮我：
1. 在日历上创建行程（6 月 1 日 -3 日）
2. 查询这三天的天气预报
3. 生成一个行李清单建议
4. 把所有内容整理成邮件草稿

如果配置得当，OpenClaw 会依次调用 Calendar API、Web 搜索、常识生成清单、Mail 应用生成草稿。

7.3 调试技巧

当任务失败时，检查：

# 查看详细日志
openclaw logs --level debug
# 测试工具调用
openclaw tool call --tool fs.list --args '{"path": "~/Desktop"}'

八、常见问题排查

Q1：OpenClaw 启动失败，提示'Port 18789 already in use'

# 查找占用进程
lsof -i :18789
# 终止该进程或修改 config.yaml 中的端口

Q2：Telegram Bot 无响应

• 检查 .env 中的 TG_BOT_TOKEN 是否正确
• 确认 ALLOWED_USER_IDS 包含你的用户 ID
• 查看日志：grep telegram ~/.openclaw/logs/*

Q3：工具调用失败'Sandbox error'

• 确认 Docker Desktop 已运行：docker ps
• 检查 config.yaml 中 sandbox.use_docker 是否为 true
• 尝试拉取沙箱镜像：docker pull openclaw/sandbox:latest

Q4：国内网络无法连接 API

# .env 中配置代理（需自行搭建）
HTTPS_PROXY=http://127.0.0.1:7890
HTTP_PROXY=http://127.0.0.1:7890

Q5：提示'Model context window too small'

修改 ~/.openclaw/agents/main/agent/models.json 中的 maxContextLength 字段为 32768 或更大。

Q6：想重置所有配置

# 完全卸载
openclaw uninstall
# 删除配置目录（谨慎！）
rm -rf ~/.openclaw

九、进阶方向

9.1 本地模型集成

通过 Ollama 部署本地模型，在 OpenClaw 中配置实现完全本地化推理，零 API 费用。

9.2 技能插件开发

OpenClaw 支持自定义 Skills，用 TypeScript 编写后放入 ~/.openclaw/skills/ 即可。

9.3 云上部署选项

如果不愿自购硬件，可使用云服务提供商的 Mac 实例，按小时计费验证 PoC。

9.4 极简替代方案

对于仅需核心调度功能的场景，可关注 PicoClaw 和 ZeroClaw 等轻量级项目，能在树莓派等低功耗设备上运行。