凤凰彩票手把手教你安全“养虾”：OpenClaw极简部署指南

作家 | Jean

OpenClaw火爆全网，“养龙虾”成为流行语。“龙虾”能我方上网、写评释、操作文档，像个毋庸寝息的24小时的个东说念主助理。

但“龙虾”的部署并不直爽，90%的小白用户会被复杂的部署拦住。并且这只“龙虾”性格不小，大模子自带的“幻觉”误差，加上它手里抓着的高权限，搞不好就会把工作器形成黑客的“虾塘”。连工信部齐拉响了警报：竖立不妥，等于不恬逸级瑕疵。

听起来很吓东说念主？别慌。

动作一位文科生的家长，我刚给儿子在云工作器上安全地“养”了一只龙虾。这篇教程，等于我整理出来的“养虾条记”——毋庸懂Linux内核，毋庸背汇聚安全术语，全程随着点就行。

咱们会用最土的成见（建个凡俗用户、扔进沙箱跑）、最稳的竖立（HTTPS加密 + 密码令牌），把这只“小龙虾”伺候得服帖服帖，既能24小时干活，又把风险锁得死死的。

若是你也念念给家东说念主、给我方配一个这么听话的AI助理，又怕翻车，这篇小龙虾安沿路署指南，等于为你准备的。

OpenClaw面前支撑的国内即时通讯软件只消，微信、钉钉等还不支撑。因此OpenClaw汉文社区就应时而生了，然后发布了OpenClaw汉文社区版，面前支撑飞书，微信、钉钉等行将上线。

以下就先容一下在云工作器上的OpenClaw的安沿路署。

装配OpenClaw汉文社区版

我的云工作器装的是Ubuntu24，云工作器上跑的绝大部分齐是Linux，通过终局汉典经管就不错，安全、高效、宽心，是以OpenClaw火爆也会成为云工作器产业的一次契机。重要是，Linux用户经管相配周至，本篇会用凡俗用户openclaw来运行OpenClaw，让它运行在沙箱中，用root部署太危急了。若是是Windows用户，比如家庭电脑或条记本电脑等，不错在Windows上装个WSL2，然后在Windws上跑起Ubuntu24，也在Linux上部署。这么比径直用Windows经管员身份运行OpenClaw要安全好多。

1、装配Node.js 22

OpenClaw是用Node.js开发的TypeScript（JavaScript）应用，要求Node.js 22+的版块，一般Ubuntu 24上带的Node.js，比如Anaconda确立的Python假造环境中，是Node.js 20，需要升级一下。比如底下我的Conda base环境中，等于Node.js 20，装配在/usr/lib64/anaconda3/bin目次下。

(base) root@VM-12-2-ubuntu:~# which node

/usr/lib64/anaconda3/bin/node

(base) root@VM-12-2-ubuntu:~# node -v

v20.17.0

用root的身份装配Node.js 22，若是有激活Conda假造环境要先退出，若是有为工作器竖立VPN代理也要先屏蔽VPN的成立。

# conda deactivate

# export http_proxy=

# export https_proxy=

若是齐莫得，就径直装配。

# curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -

# apt-get install -y nodejs

装好检查一下，装配在/usr/bin目次下，安宁Conda假造环境莫得激活。

root@VM-12-2-ubuntu:~# which node

/usr/bin/node

root@VM-12-2-ubuntu:~# node -v

v22.22.0

若是有需要，装配之前不错为Node.js成立国内的镜像，这么装配会快好多，比如成立为淘宝的镜像：

root@VM-12-2-ubuntu:~# npm config set registry

https://registry.npm.taobao.org

root@VM-12-2-ubuntu:~# npm config get registry

https://registry.npm.taobao.org

2、装配OpenClaw汉文社区版

用root的身份装配。OpenClaw汉文社区版与OpenClaw自动同步，应用的名字是openclaw-cn，多了“-cn”后缀，面前是0.1.7版，对应的应该是OpenClaw 2026.2.x或2026.3.x版，不外不一定是最新的版块，因为我发觉有些竖立的选项它还不虞志。

# npm install -g openclaw-cn@latest

考证装配：

root@VM-12-2-ubuntu:~# which openclaw-cn

/usr/bin/openclaw-cn

root@VM-12-2-ubuntu:~# openclaw-cn --version

0.1.7

竖立OpenClaw网关工作

1、创建凡俗用户openclaw

这个用户将用于运行OpenClaw，以便把它放弃在沙箱中，尽量减少大模子幻觉和汇聚入侵带来的风险，这是Linux系统固有的优点。

# adduser openclaw

这个高歌会创建用户并教唆输入并成立口令，创建home目次，设定同名用户组，指定登录后用bash。

2、竖立OpenClaw网关工作

OpenClaw后端总共的功能齐要通过网关工作来引申，它的旨趣图如下：

图1 OpenClaw旨趣架构图

若是按名堂主页的指引，用root或其它system类型用户的身份运行底下的装配向导高歌，就会在面前用户的~/.config/systemd/user/ 目次下创建openclaw-gateway.service系统工作竖立文献，把网关竖立为用户级的系统看护程度，但若是是root用户权限过大就太危急了。

先用root的身份运行一次上头的装配向导高歌，具体操作不错参阅后头的第三节，它会生成root的用户级系统工作/root/.config/systemd/user/openclaw-gateway.service，把它拷贝成 /etc/systemd/system/openclaw-gateway.service，然后住手root用户的OpenClaw网关，取消激活以免端口冲破。

# openclaw-cn onboard --install-daemon

# cp/root/.config/systemd/user/openclaw-gateway.service /etc/systemd/system/openclaw-gateway.service

# systemctl --user stop openclaw-gateway

# systemctl --user disable openclaw-gateway

# systemctl --user daemon-reload

再为凡俗用户openclaw竖立网关工作。它莫得运行用户级系统程度的权限，是以咱们用root的身份把OpenClaw网关工作竖立为系统级的工作，然后以用户openclaw的身份运行工作，责任目次为其HOME目次。裁剪工作竖立文献：

(base) root@VM-12-2-ubuntu:~# cd /etc/systemd/system

(base) root@VM-12-2-ubuntu:/etc/systemd/system# vi openclaw-gateway.service

改好后内容重心如下：

1）以用户openclaw的身份运行。

2）责任目次为其HOME目次。

3）用/usr/bin/node运行，这是前边装配的Node.js 22，工作端口是默许的18789。

4）竖立文献由环境变量

OPENCLAW_CONFIG_PATH=/home/openclaw/.openclaw/openclaw.json指定，在用户openclaw的目次下。这么设定是因为这个竖立文献是OpenClaw前端和后端（网关）共用的，以后不错通过Control UI修改，然后重启网关即可收效。

5）这里成立的OPENCLAW_GATEWAY_TOKEN是用root运行化时成立的，会被openclaw.json中指定的token阴私，也不错不成立。留住来仅仅望望它本来的式样。

6）严格放弃openclaw网关的权限。

NoNewPrivileges=true

PrivateTmp=true

ProtectSystem=strict

# ProtectHome=true

ReadWritePaths=/home/openclaw

不成成立ProtectHome，不然工作不成chdir到HOME目次，启动失败。要灵通HOME目次/home/openclaw的读写权限，不然网关不成平常责任。

齐备的内容如下：

[Unit]

Description=Openclaw Gateway (v0.1.7)

After=network-online.target

Wants=network-online.target

[Service]

Type=simple

User=openclaw

Group=openclaw

WorkingDirectory=/home/openclaw

ExecStart=\"/usr/bin/node\" \"/usr/lib/node_modules/openclaw-cn/dist/entry.js\" gateway --port 18789

Restart=always

RestartSec=5

KillMode=process

Environment=OPENCLAW_CONFIG_PATH=/home/openclaw/.openclaw/openclaw.json

Environment=HOME=/home/openclaw

Environment=\"PATH=/usr/local/bin:/usr/bin:/bin\"

Environment=OPENCLAW_GATEWAY_PORT=18789

# 注：这个token是用root装配网关时创建的，会被openclaw.json里指定的token阴私，已失效。

# Environment=OPENCLAW_GATEWAY_TOKEN=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Environment=\"OPENCLAW_SYSTEMD_UNIT=openclaw-gateway.serviceEnvironment=OPENCLAW_SERVICE_MARKER=openclaw

Environment=OPENCLAW_SERVICE_KIND=gateway

{jz:field.toptypename/}

Environment=OPENCLAW_SERVICE_VERSION=0.1.7

NoNewPrivileges=true

PrivateTmp=true

ProtectSystem=strict

# ProtectHome=true

ReadWritePaths=/home/openclaw

[Install]

WantedBy=multi-user.target

激活并启动网关工作：

# systemctl daemon-reload

# systemctl enable openclaw-gateway

# systemctl start openclaw-gateway

不错另开一个终局窗话柄时稽查网关工作的启动日记，望望启动中有什么诞妄：

journalctl -u openclaw-gateway.service -f

这是平常启动的追踪日记：

Mar 06 10:56:20 VM-12-2-ubuntu systemd[1]: openclaw-gateway.service: Deactivated successfully.

Mar 06 10:56:20 VM-12-2-ubuntu systemd[1]: Stopped openclaw-gateway.service - Openclaw Gateway (v0.1.7).

Mar 06 10:56:20 VM-12-2-ubuntu systemd[1]: openclaw-gateway.service: Consumed 2min 44.117s CPU time， 1.3G memory peak， 0B memory swap peak.

Mar 06 10:56:37 VM-12-2-ubuntu systemd[1]: Started openclaw-gateway.service - Openclaw Gateway (v0.1.7).

然后不错稽查工作器是否平常启动，侦听18789端口：

(base) root@VM-12-2-ubuntu:/etc/systemd/system# ss -lntp | grep 18789

LISTEN 0 511 0.0.0.0:18789 0.0.0.0:* users:((\"clawdbot-gatewa\"，pid=2561966，fd=23))

平常运行时，在总共的IP(0.0.0.0，这个后头再讲，默许是127.0.0.1，loopback地址)上监听18789端口。

(base) root@VM-12-2-ubuntu:/etc/systemd/system# systemctl status openclaw-gateway

● openclaw-gateway.service - Openclaw Gateway (v0.1.7)

Loaded: loaded (/etc/systemd/system/openclaw-gateway.service; enabled; preset: enabled)

Active: active (running) since Fri 2026-03-06 10:56:37 CST; 14min ago

Main PID: 2561959 (openclaw-cn)

Tasks: 22 (limit: 9126)

Memory: 395.9M (peak: 1.3G)

CPU: 49.425s

CGroup: /system.slice/openclaw-gateway.service

├─2561959 openclaw-cn

└─2561966 clawdbot-gateway

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: ' Mode of event/callback subscription(订阅步地)\\n' +

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: ' -> \\n' +

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: ' Receive events/callbacks through persistent connection(使用长伙同经受事件/回调)'

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: ]

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:10.082Z [feishu] feishu[default]: WebSocket client started

Mar 06 10:57:10 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:10.321Z [info]: [ '[ws]'， 'ws client ready' ]

Mar 06 10:57:11 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:11.662Z [bonjour] gateway name conflict resolved; newName=\"VM-12-2-ubuntu (Clawdbot) (2)\"

Mar 06 10:57:11 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:11.664Z [bonjour] gateway hostname conflict resolved; newHostname=\"VM-12-2-ubuntu-(2)\"

Mar 06 10:57:19 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:19.570Z [ws] Proxy headers detected from untrusted address. Connection will not be treated as local>

Mar 06 10:57:19 VM-12-2-ubuntu node[2561966]: 2026-03-06T02:57:19.597Z [ws] webchat connected conn=6b22b40d-c498-40b6-b52f-52344e1fd830 remote=127.0.0.1 client=cl>

lines 1-21/21 (END)

运行装配向导

这一步完成OpenClaw高歌行器具（CLI）及WEB Control UI、接入渠说念、LLM等的竖立，以生成总共需要的竖立文献，如飞书的竖立等。

以登录的步地切换到新创建的openclaw用户。

# su -l openclaw

运行底下的装配向导高歌，安宁，不带--install-daemon选项，网关工作也曾竖立好了。

openclaw-cn onboard

它会创建总共需要的竖立文献以及workspace目次，总共openclaw的文献齐存放在.openclaw目次下，包括竖立文献openclaw.json。

openclaw@VM-12-2-ubuntu:~/.openclaw$ ls

agents cron exec-approvals.json feishu-dedup.db-shm identity openclaw.json update-check.json

credentials devices feishu-dedup.db feishu-dedup.db-wal memory openclaw.json.bak workspace

袭取安全告诫，采选快速起先模式，会辅导你竖立各式需要的部件，包括飞书接入。竖立的过程如下，安宁内部讲的systemd不可探问，跳过竖立，是因为咱们把网关工作竖立成了系统级的工作，不是OpenClaw本来的用户级系统工作，剧本检测不到，但不影响使用。

penclaw@VM-12-2-ubuntu:~$ openclaw-cn onboard

OpenClaw-CN 0.1.7 (415f7b6) — 将\"I'll reply later\"变为\"my bot replied instantly\"。

░████░█░░░░░█████░█░░░█░███░░████░░████░░▀█▀

█░░░░░█░░░░░█░░░█░█░█░█░█░░█░█░░░█░█░░░█░░█░

█░░░░░█░░░░░█████░█░█░█░█░░█░████░░█░░░█░░█░

█░░░░░█░░░░░█░░░█░█░█░█░█░░█░█░░█░░█░░░█░░█░

░████░█████░█░░░█░░█░█░░███░░████░░░███░░░█░

逐日簇新 ��

┌ OpenClaw装配辅导

│

◇ 安全 ─────────────────────────────────────────────────────────────╮

│ 安全告诫 — 请阅读。 │

│ │

│ OpenClaw是一个业余名堂，仍处于测试阶段。可能会有约略之处。 │

│ 若是启用了器具，此机器东说念主不错读取文献并引申操作。 │

│ 不良教唆可能会诱使其引申不安全的操作。 │

│ │

│ 若是您不老练基本的安全和探问端正，请不要运行OpenClaw。 │

│ 在启用器具或将系统显现给互联网之前，请寻求有教授的东说念主士匡助。 │

│ │

│ 推选的基础成立： │

│ - 配对/白名单 + @说起门控。 │

│ - 沙箱 + 最低权限器具。 │

│ - 将神秘信息保留在智能体可探问的文献系统以外。 │

│ - 关于使用器具或不受信任收件箱的机器东说念主，请使用最巨大的可用模子。 │

│ │

│ 依期运行： │

│ openclaw-cn security audit --deep │

│ openclaw-cn security audit --fix │

│ │

│ 必读：https://clawd.org.cn/gateway/security.html │

├────────────────────────────────────────────────────────────────────╯

│

◇ 我斡旋这很巨大且本质上存在风险。无间吗？

│ Yes

│

◇ 装配辅导模式

│ 快速起先

│

◇ 检测到现存竖立 ───────────────────╮

│ workspace: ~/.openclaw/workspace │

│ model: zai/glm-5 │

│ gateway.mode: local │

│ gateway.port: 18789 │

│ gateway.bind: lan │

├────────────────────────────────────╯

│

◇ 竖立处理

│ 使用现存值

│

◇ 快速起先 ───────────────╮

│ 保留您面前的网关成立： │

│ 网关端口：18789 │

│ 网关绑定：局域网 │

│ 网关认证：令牌（默许） │

│ Tailscale显现：关闭 │

│ 径直到聊天频说念。 │

├──────────────────────────╯

│

◇ 模子/认证提供商

│ Z.AI (GLM-5)

│

◇ Z.AI (GLM-5) 认证设施

│ Z.AI (GLM-5) API key

│

◇ Enter Z.AI API key

│ xxxxxxxxxx

│

◇ Model configured ───────────────╮

│ Default model set to zai/glm-5 │

├──────────────────────────────────╯

│

◇ 默许模子

│ 保持面前（zai/glm-5）

│

◇ 通说念气象 ─────────────────────╮

│ Telegram: 未竖立 │

│ WhatsApp: 未竖立 │

│ Discord: 未竖立 │

│ Google Chat: 未竖立 │

│ Feishu: 已竖立（插件已禁用） │

│ Slack: 未竖立 │

│ Signal: 未竖立 │

│ iMessage: 未竖立 │

│ Feishu: 装配插件以启用 │

├────────────────────────────────╯

│

◇ 通说念责任旨趣 ─────────────────────────────────────────────────────────────────╮

│ DM安全：默许为配对；未知的私信会赢得配对码。 │

│ 批准高歌：openclaw-cn pairing approve <channel> <code> │

│ 公开私信需要dmPolicy=\"open\" + allowFrom=[\"*\"]. │

│ 多用户私信：成立session.dmScope=\"per-channel-peer\" 来终止会话。 │

│ 文档：start/pairing │

│ │

│ Telegram: 最直爽的初学步地——使用 @BotFather注册一个机器东说念主并起先使用。 │

│ WhatsApp: 使用您我方的号码责任；提议使用稳定手机 + eSIM。 │

│ Discord: 面前支撑相配好。 │

│ Google Chat: 带有HTTP webhook的Google Workspace聊天应用。 │

│ Feishu: 飞书/Lark机器东说念主集成 (WebSocket)。 │

│ Slack: 已支撑（Socket模式）。 │

│ Signal: signal-cli聚集拓荒；更多成立（David Reagans说：\"加入Discord吧。\"）。 │

│ iMessage: 这仍然是一个正在进行的责任。 │

├────────────────────────────────────────────────────────────────────────────────╯

│

◇ 采选通说念（快速起先）

│ Feishu (Lark Open Platform)

│

◇ 装配Feishu插件?

│ 使用土产货插件旅途

03:52:31 [plugins] feishu_doc: Registered feishu_doc， feishu_app_scopes

03:52:31 [plugins] feishu_drive: Registered feishu_drive tool

03:52:31 [plugins] feishu_wiki: Registered feishu_wiki tool

03:52:31 [plugins] feishu_im: Registered feishu_im_list_chats， feishu_im_get_chat， feishu_im_list_members， feishu_im_send_message， feishu_im_reply_message， feishu_im_get_messages， feishu_im_create_chat

03:52:31 [plugins] feishu_task: Registered feishu_task tool (8 actions)

03:52:31 [plugins] feishu_calendar: Registered feishu_calendar tool (8 actions)

03:52:31 [plugins] feishu_sheets: Registered feishu_sheets tool (7 actions)

[feishu] plugins registered: 9 modules loaded

│

◇ Feishu也曾竖立。您念念要进行什么操作？

│ 修改成立

│

◇ 采选平台 / Select platform

│ 飞书（国内版）

│

◇ 已选通说念 ─────────────────────────────────────────────────╮

│ Feishu — 飞书/Lark enterprise messaging. 文档: │

│ feishu │

├────────────────────────────────────────────────────────────╯

Config overwrite: /home/openclaw/.openclaw/openclaw.json (sha256 6bfc049a9d315f90c88b131fdf82d072a495e4cff91199d4f3a5307c72ca776c -> 867f76512e58effcf20bb0121f1cb0a37d3740eb86843682196e375410185776， backup=/home/openclaw/.openclaw/openclaw.json.bak)

Updated ~/.openclaw/openclaw.json

责任区平常：~/.openclaw/workspace

会话平常：~/.openclaw/agents/main/sessions

│

◇ 妙技气象 ──────────╮

│ 合适条目：51 │

│ 贵重需求：0 │

│ 被允许列表阻遏：0 │

├─────────────────────╯

│

◇ 面前竖立妙技？（推选）

│ No

│

◇ 钩子 ───────────────────────────────────────────╮

│ 钩子让您简略在代理高歌发出时自动引申操作。 │

│ 举例：在您发出/new时将会话落魄文保存到内存中。 │

│ │

│ 了解更多：https://docs.clawd.bot/hooks │

├──────────────────────────────────────────────────╯

│

◇ 启用钩子？

│ 暂时跳过

Config overwrite: /home/openclaw/.openclaw/openclaw.json (sha256 867f76512e58effcf20bb0121f1cb0a37d3740eb86843682196e375410185776 -> f248f7b04215fdd25bd87889613f690a8dd2198a5fcb447e99af04596fe6b1b5， backup=/home/openclaw/.openclaw/openclaw.json.bak)

│

◇ Systemd ───────────────────────────────────────────────────────────────────────────────╮

│ Systemd user services are unavailable. Skipping lingering checks and service install. │

├─────────────────────────────────────────────────────────────────────────────────────────╯

│

◇

Feishu: ok

Agents: main (default)

Heartbeat interval: 30m (main)

Session store (main): /home/openclaw/.openclaw/agents/main/sessions/sessions.json (1 entries)

- agent:main:main (1m ago)

│

◇ 可选应用 ───────────────────╮

│ 为出奇功能添加节点： │

│ - macOS应用（系统+见告） │

│ - iOS应用（相机/画布） │

│ - Android应用（相机/画布） │

├──────────────────────────────╯

│

◇ 端正界面 ─────────────────────────────────────────────────────────────────────────────────╮

│ 网页界面：http://127.0.0.1:18789/ │

│ 网页界面（带令牌）：http://127.0.0.1:18789/?token=xxxxxxxx │

│ xxxxxxxx │

│ 网关WS：ws://127.0.0.1:18789 │

│ 网关：可探问 │

│ 文档：https://docs.clawd.bot/web/control-ui │

├────────────────────────────────────────────────────────────────────────────────────────────╯

│

◇ 启动TUI（最好选项！） ────────────────────╮

│ 这是界说性的操作，使您的智能体成为您的。 │

│ 请迟缓来。 │

│ 您告诉它的越多，体验就会越好。 │

│ 咱们将发送：\"醒来吧，我的一又友！\" │

├────────────────────────────────────────────╯

│

◇ 令牌 ──────────────────────────────────────────────────────────────────────────────╮

│ 网关令牌：网关+端正界面的分享认证。 │

│ 存储在：~/.openclaw/openclaw.json（gateway.auth.token）或OPENCLAW_GATEWAY_TOKEN。 │

│ 网页界面在此浏览器的localStorage中存储副本（clawdbot.control.settings.v1）。 │

│ 随时获取带令牌的聚集：openclaw-cn dashboard --no-open │

├─────────────────────────────────────────────────────────────────────────────────────╯

│

◇ 您念念怎样孵化您的机器东说念主？

│ 在TUI中孵化（推选）

│

◇ 责任区备份 ────────────────────────────────────────────╮

│ 备份您的智能体责任区。 │

│ 文档：https://docs.clawd.bot/concepts/agent-workspace │

├─────────────────────────────────────────────────────────╯

│

◇ 安全 ──────────────────────────────────────────────────────────────────────────────╮

│ 在您的诡计机上运行智能体是有风险的——加强您的成立：https://docs.clawd.bot/security │

│

◇ 汇聚搜索（可选） ───────────────────────────────────────────────╮

│ 若是但愿您的智能体简略搜索汇聚，则需要API密钥。 │

│ │

│ Clawdbot使用Brave Search动作`web_search`器具。莫得Brave Search │

│ API密钥，汇聚搜索将无法责任。 │

│ │

│ 交互式成立： │

│ - 运行：openclaw-cn configure --section web │

│ - 启用web_search并粘贴您的Brave Search API密钥 │

│ │

│ 替代有蓄意：在网关环境中成立BRAVE_API_KEY（无需窜改竖立）。 │

│ 文档：https://docs.clawd.bot/tools/web │

├──────────────────────────────────────────────────────────────────╯

│

◇ 接下来 ─────────────────────────────────────────────────────╮

│ 接下来：https://clawd.bot/showcase（\"东说念主们正在构建什么\"）。 │

├──────────────────────────────────────────────────────────────╯

│

└ 装配辅导完成。使用上头的带令牌样子盘聚集端正Clawdbot。

openclaw-cn tui - ws://127.0.0.1:18789 - agent main - session main session agent:main:main

这是竖立好的openclaw.json文献，不成径直用这个文献替换，因为装配向导还会生成上述目次中的其它竖立文献。配好后则不错径直改这个竖立文献。重心如下：

1、模子配了用智谱AI最新的旗舰模子GLM-5，api_key在竖立的过程中粘贴进去，会保存进上头列出的文献中（具体在哪还莫得辩论）。

2、责任区在/home/openclaw/.openclaw/workspace目次下。

3、渠说念竖立了飞书，这个后头第四节再具体讲。这里竖立飞书渠说念和飞书灵通平台竖立飞书应用要交叉进行。这里要填入飞书灵通平台创建的飞书应用的App ID与App Secret，然后OpenClaw会创建一个到飞书灵通平台的长伙同，然后飞书应用竖立中才不错无间竖立第6步：竖立事件订阅。

4、gateway一节，凤凰彩票app告诉网关工作奈何启动，前边竖立了网关工作使用这里的界说。这里的竖立跟后头WEB Control UI的探问步地关联。

1）mode为local，只袭取土产货（即本机IP）探问，后头通过竖立Nginx反向代理来用域名从公网上探问它。

2）bind为lan，绑定到工作器总共的IP地址，以便不错经受来自汇聚的探问。它默许的是localhost，或127.0.0.1，不会袭取来自汇聚的探问。改成0.0.0.0也不错。

3)allowInsecureAuth为true，允许不安全的来访，来自汇聚上浏览器不安全的来访先要简略通过汇聚层的过滤，才能走到后头身份绑定和权限经管的要领。

4)网关考证的步地是token，每次竖立时会生成不同的飞速长token，这比口令要强。配好后，和会过https://jeanye.cn/?token=xxxxxxxx这么的步地去探问WEB Control UI，通过HTTPS保护明文传输的token，通过长token保护WEB Control UI不会被非授权的东说念主探问。

5)tailscale成立为off，咱们通过HTTPS+token的步地来探问WEB Control UI，安全性有保证，不走tailscale的步地（因为竖立可能繁琐，我也不老练）。

5、plugins一节，飞书的插件是OpenClaw汉文社区版自带的，装配时已装好，不要再从网上(remote)下载，不然会报一大串告诫信息，说检测到疏浚的插件ID。在竖立飞书时采选使用土产货的插件即可。

{

\"meta\": {

\"lastTouchedVersion\": \"0.1.7\"，

\"lastTouchedAt\": \"2026-03-05T08:58:00.259Z\"

}，

\"wizard\": {

\"lastRunAt\": \"2026-03-05T08:58:00.246Z\"，

\"lastRunVersion\": \"0.1.7\"，

\"lastRunCommand\": \"configure\"，

\"lastRunMode\": \"local\"

}，

\"auth\": {

\"profiles\": {

\"zai:default\": {

\"provider\": \"zai\"，

\"mode\": \"api_key\"

}

}，

\"order\": {

\"zai\": [

\"zai:default\"

]

}

}，

\"agents\": {

\"defaults\": {

\"model\": {

\"primary\": \"zai/glm-5\"

}，

\"models\": {

\"zai/glm-5\": {

\"alias\": \"GLM-5\"

}

}，

\"workspace\": \"/home/openclaw/.openclaw/workspace\"，

\"compaction\": {

\"mode\": \"safeguard\"

}，

\"maxConcurrent\": 4，

\"subagents\": {

\"maxConcurrent\": 8

}

}，

\"messages\": {

\"ackReactionScope\": \"group-mentions\"

}，

\"commands\": {

\"native\": \"auto\"，

\"nativeSkills\": \"auto\"

}，

\"channels\": {

\"feishu\": {

\"accounts\": {

\"default\": {

\"appId\": \"cli_xxxxxx\"，

\"appSecret\": \"xxxxxxxx\"，

\"domain\": \"feishu\"，

\"enabled\": true

}

}，

\"gateway\": {

\"port\": 18789，

\"mode\": \"local\"，

\"bind\": \"lan\"，

\"controlUi\": {

\"allowInsecureAuth\": true

}，

\"auth\": {

\"mode\": \"token\"，

\"token\": \"xxxxxxxx\"

}，

\"tailscale\": {

\"mode\": \"off\"，

\"resetOnExit\": false

}

}，

\"plugins\": {

\"load\": {

\"paths\": [

\"/usr/lib/node_modules/openclaw-cn/extensions/feishu\"

]

}，

\"entries\": {

\"feishu\": {

\"enabled\": true

}

装配竖立飞书应用

具体不错参阅这篇网文《Openclaw 最细部署指南》第6章《进阶竖立篇》中飞书的竖立，篇幅较长，此处不疏浚赘述。其中重要的少许是，竖立飞书渠说念和竖立飞书应用要交叉进行，因为竖立飞书应用时，要等渠说念竖立这边创建了一个到飞书灵通平台的长伙同，才不错无间竖立事件订阅。而竖立渠说念时，又要用竖立应用时创建的App ID与App Secret。

Step 5：启用机器东说念主能力

第三部分（插在这里）：先在OpenClaw中竖立飞书渠说念并启动网关

步地一：通过竖立向导（推选）

启动网关，阐述运工作态

保存竖立后，启动（或重启）OpenClaw网关：

Step 6（回到飞书）：竖立事件订阅

在左侧菜单点击\"事件订阅\"。

经受事件的步地，选\"使用长伙同经受事件\"（WebSocket模式）。

选好之后，鄙人方\"添加事件\"里搜索并添加：

不错把im:message的权限齐选上，至少需要im.message.receive_v1权限。

应用竖立好后，要发布，每次应用竖立有变化齐要发布应用，然后才会起作用。

飞书应用的权限不错按需要授予，你不错商榷小龙虾某项责任需要飞书应用的什么权限，再授权，浅近起见，我把云文档和多维表格，还灵验户信息的权限齐给了。因为引申的遵守输出到云文档，在飞书App里径直就不错掀开看和下载。

测试飞书APP

掀开飞书（App或网页版），在应用搜索栏里搜索你创建的飞书应用称呼。

图2 飞书App中搜索飞书应用

点击该应用，发送一个打呼唤的音尘，OpenClaw会复返一条要求绑定（批准）拓荒的回话，不然不成无间探问：

图3 从飞书应用向OpenClaw发送指示

在openclaw用户下引申上头的高歌完成拓荒配对，每个飞书账户只需要引申一次：

$ openclaw-cn pairing approve feishu APQ4GMTH

配对完成后，面前再在飞书APP中让OpenClaw引申一个测试的高歌：

图4 OpenClaw复返责任的遵守

不错看到，OpenClaw以用户openclaw的身份运行，责任目次是/home/openclaw/.openclaw/workspace，这恰是安全的沙箱运行步地，即使大模子出错，或被入侵，爆炸影响的鸿沟会仅限于其HOME目次下的文献，风险要小好多。

面前不错欢喜地和小龙虾玩耍啦。

竖立从公网探问WEB Control UI

关于IT专科东说念主士来说，通过文本终局界面汉典经管OpenClaw是很浅近，但对应于非IT专科东说念主士，照旧WEB Control UI图形界面浅近易用好多，装配竖立好了，径直请托使用即可。

1、竖立Nginx反向代理

因为OpenClaw网关竖立为local模式，它只可从土产货探问，是以竖立Nginx反向代理来从公网探问WEB Control UI。

vi /etc/nginx/nginx.conf

竖立重心：

1）map竖立以支撑web-socket伙同，OpenClaw Contorl UI是个Vite框架的JavaScript应用，它通过WebSocket合同径直探问工作器（ws://127.0.0.1:18789）。

2）转发的URI定位到根目次，因为OpenClaw Contorl UI里对WebSocket的探问URL是法度中写死的/（ws://127.0.0.1:18789），不支撑反向代理到子目次。反向代理占用根目次的问题，也不错通过子域名来措置，等于为OpenClaw肯求一个专用的子域名（要付费），然后在Let's Encrypt中签个带子域名的数字文凭。子域名和主域名齐映射到归并个IP，由Nginx去分流。这里直爽起见径直占用根目次了，因为在我的工作器上根目次本来等于个迎接页，也莫得别的用途。

3）除了根URI外，其它反向代理的成立不受影响，比如这里VPN工作器mihomo Dashboard的反向代理。

4）反向代理中最重要的一句是：

proxy_set_header Origin http://127.0.0.1:18789;

浏览器的探问请求到达OpenClaw时，齐带有Origin header，因为网关竖立为local模式，OpenClaw不会经受其它IP来源的探问，径直就复返403 Forbidden诞妄，在WEB Control UI页面上就会骄横与后端网关的伙同是（见Issue#19248）：

disconnected (1006): no reason

这个成立让Nginx替换总共浏览器请求的Origin hearder为loopback地址，OpenClaw就会合计是土产货探问，赐与通过。

反向代理的具体竖立如下，配在https server下，用Lets's Encrypt免费的数字文凭。

......

http {

......

# Support proxying of web-socket connections

map $http_upgrade $connection_upgrade {

default upgrade;

'' close;

}

......

# Server on http:443 http2

server {

listen 443 ssl;

listen [::]:443 ssl;

server_name jeanye.cn;

# Let's Encrypt's cert & key

ssl_certificate /etc/letsencrypt/live/jeanye.cn/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/jeanye.cn/privkey.pem;

# / 根目次让给了OpenClaw，因为它的WebSocket要伙同WSS://jeanye.cn根目次

# location / {

# root /srv/nginx;

# index index.html;

# autoindex on;

# }

......

location / {

proxy_pass http://127.0.0.1:18789;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection $connection_upgrade;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Origin http://127.0.0.1:18789;

proxy_read_timeout 86400;

proxy_send_timeout 86400;

proxy_buffering off;

}

# Reverse proxy for mihomo dashboard

rewrite ^/mihomo$ $scheme://$http_host/mihomo/ permanent;

location /mihomo/ {

rewrite ^/mihomo/(.*)$ /$1 break;

proxy_pass http://localhost:9090/;

proxy_redirect / $scheme://$http_host/mihomo/;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection $connection_upgrade;

proxy_read_timeout 20d;

proxy_buffering off;

}

2、从浏览器探问OpenClaw Control UI

输入地址https://jeanye.cn/?token=xxxxxxxx探问WEB Control UI，这个token等于前边竖立网关时指定的探问token，比口令要长，有饱胀的复杂性不错保护Control UI免受非授权的探问。因为token是动作参数明文传输的，是以要在https加密伙同下使用，关联用Let's Encrypt免费数字文凭竖立Nginx，请参阅我的知乎著作《在HTTS中使用Let's Encrypt的数字文凭》。