type
Post
status
Published
date
Mar 22, 2026
summary
slug
tags
推荐
人工智能
计算机
category
技术分享
icon
password
OpenClaw生产环境部署全攻略:性能优化+安全加固+监控运维
本文覆盖了 11 种部署路径,可归纳为四大类:
- 本地一键安装(
curl | bash或npm install -g openclaw):5 分钟上手,零基础设施成本,适合个人体验。
- Mac Mini 本地部署:以 800–2,000 美金的一次性硬件投入换取零云端费用——搭配 Ollama 运行本地模型后,日常使用成本可降至 0 美金/月。64GB 的 M4 Pro 可流畅运行 32B 参数模型。
- 云服务器 / 在线虚拟机:阿里云(68 元/年起)、腾讯云(99 元/年起)均提供预装镜像一键部署;海外用户可选 DigitalOcean 1-Click、Railway、Render 等平台,最低免费起步。
- Docker 容器化 / macOS VM(Lume):安全性与隔离性最优的方案,适合生产环境和需要 iMessage 集成的场景。
Token 成本
OpenClaw 本身免费开源,真正的成本来自 LLM API 调用,且极易超支:
- 一个配置不当的”心跳”检查(每 30 分钟一次),一晚可烧掉 18.75 美金;有用户单日”待机”消耗 5000 万 Tokens(约 11 美金)。
- 成本六大来源:上下文累积(40–50%)、工具输出存储(20–30%)、系统提示词(10–15%)、多轮推理、模型选择、心跳任务。
- 优化组合可降低 77%——通过会话重置、智能模型路由(Haiku/Gemini Flash 处理日常任务)、上下文窗口限制、本地模型回退等策略,实测从 150 美金/月降至 35 美金/月。
安全风险
安全是 OpenClaw 当前最大的短板,已发生多起严重事件:
- CVE-2026-25253(CVSS 8.8):跨站 WebSocket 劫持导致一键远程代码执行,攻击者仅需受害者点击一个恶意链接,即可在毫秒内接管整个 Gateway 并在宿主机上执行任意命令。已在 v2026.1.29 修复。
- 923 个网关暴露:Shodan 扫描发现近千个 OpenClaw 实例以零认证模式暴露在公网上,API Key 和对话记录均可被窃取。
- 恶意 VS Code 扩展:名为 “ClawdBot Agent” 的扩展被植入远程访问木马。
- 此外还有第三方技能包钓鱼、Moltbook 数据库泄露、1600 万美金加密货币诈骗等事件。
官方安全方案
官方已推出多层防御措施:
auth: "none" 模式被永久移除、Docker 沙箱隔离(只读根文件系统 + 无网络 + 非 root 运行)、openclaw security audit --deep 自动安全审计、DM 四级访问策略(pairing/allowlist/open/disabled)、多 Agent 分级权限控制,以及完整的事件响应流程。一句话建议:OpenClaw 功能强大但安全形势严峻——部署前请务必升级到最新版本、启用 Token 认证、开启 Docker 沙箱、在供应商侧设置硬性 API 支出限制,并定期运行安全审计。
一、项目概述
什么是 OpenClaw?
OpenClaw(原名 Clawdbot → Moltbot → OpenClaw)是一个开源的个人 AI 助手运行时,由 PSPDFKit 创始人 Peter Steinberger 于 2026 年初发起。项目在 72 小时内增长超过 6 万 Star,2 周内突破 15 万 Star,成为 GitHub 史上增长最快的开源项目之一。
核心定位:在你自己的设备上运行的 AI Agent,连接各种消息平台(WhatsApp、Telegram、Slack、Discord、Signal、iMessage、飞书、钉钉等),提供 24⁄7 全天候的 AI 助手体验。
核心特性
特性 | 说明 |
多渠道收件箱 | 统一接入 WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、BlueBubbles (iMessage)、飞书、钉钉 |
本地 Gateway | 基于 WebSocket 的控制平面,运行在 localhost:18789,管理会话、渠道、工具和事件 |
语音能力 | macOS/iOS/Android 上通过 ElevenLabs 实现始终在线语音(Voice Wake + Talk Mode) |
可视化工作区 (Canvas) | Agent 驱动的可视化工作区,支持 A2UI 交互式 Agent 控制 |
设备集成 | iOS/Android 节点可暴露摄像头、屏幕录制、位置服务等设备能力 |
灵活工具 | 浏览器控制、定时任务、Webhooks、技能注册表 (ClawHub),100+ 预配置 AgentSkills |
开源许可 | MIT 协议,完全免费 |
二、系统架构
OpenClaw 采用五大功能模块的微服务架构:
关键组件说明:
- Gateway: 单一控制平面,所有消息经由此路由,管理认证和会话
- Agent: 连接 LLM(Claude、GPT、Ollama 等),理解上下文并制定执行计划
- Skills: JS/TS 可扩展工具包,支持 Shell 命令、文件操作、浏览器控制等
- Channels: 连接各消息平台,提供统一消息接口
- Nodes: 在用户设备上运行的传感器/端点,暴露设备能力
三、快速部署方式总览
部署方式对比表
部署方式 | 难度 | 成本 | 适用场景 | 设置时间 |
一键脚本安装 | ⭐ 最低 | 免费 + API费用 | 本地快速体验 | ~5 分钟 |
npm 全局安装 | ⭐⭐ 低 | 免费 + API费用 | 开发者日常使用 | ~5 分钟 |
Mac Mini 本地部署 | ⭐⭐⭐ 中 | 800-2000 美金硬件 | 零云端费用、隐私优先 | ~30 分钟 |
Docker 容器化 | ⭐⭐⭐ 中 | 免费 + API费用 | 隔离运行、安全优先 | ~15 分钟 |
阿里云轻量服务器 | ⭐⭐ 低 | 68元/年起 + API | 国内用户快速上手 | ~10 分钟 |
腾讯云 Lighthouse | ⭐⭐ 低 | 99元/年起 + API | 国内用户快速上手 | ~10 分钟 |
DigitalOcean 1-Click | ⭐ 最低 | 5-12 美金/月 + API | 海外用户一键部署 | ~5 分钟 |
Emergent.sh | ⭐ 最低 | 免费层可用 | 零配置体验 | ~5 分钟 |
Railway / Render | ⭐⭐ 低 | 0-7 美金/月 + API | 开发者云部署 | ~8-12 分钟 |
macOS VM (Lume) | ⭐⭐⭐⭐ 高 | 0 美金(本地VM) | iMessage集成、完全隔离 | ~20 分钟 |
Cloudflare Workers | ⭐⭐⭐⭐ 高 | 5 美金/月起 | 无服务器、高可扩展 | ~15 分钟 |
系统最低要求
项目 | 最低要求 | 推荐配置 |
CPU | 2 核 | 4 核+ |
内存 | 2 GB | 4-8 GB |
磁盘 | 10 GB | 40 GB+ |
Node.js | >= 22.0.0 | 最新 LTS |
操作系统 | macOS / Linux / Windows (WSL2) | macOS (Apple Silicon) |
核心端口 | TCP 18789 | TCP 18789 + 80 |
四、Mac Mini 本地部署详解
Mac Mini 是运行 OpenClaw 的理想本地硬件方案——低功耗(20-40W)、高性能、零云端费用。
4.1 硬件选型推荐
方案 | 硬件配置 | 价格 | 本地模型能力 |
预算方案 | Mac Mini M4 (24GB) | 约 800 美金 | 运行 7B-13B 参数模型 |
推荐方案 | Mac Mini M4 Pro (64GB) | 约 2,000 美金 | 运行 32B 参数模型,如 Qwen2.5-Coder-32B |
旗舰方案 | Mac Mini M4 Max (128GB) | 约 3,500+ 美金 | 运行 70B+ 参数模型 |
性能参考
4.2 安装步骤
步骤 1:安装基础依赖
步骤 2:安装 OpenClaw
步骤 3:运行配置向导
配置向导会引导你完成:
- 选择 AI 模型提供商:Anthropic (Claude)、OpenAI、Google Gemini、本地 Ollama 等
- 配置 API Key:输入对应提供商的 API 密钥
- 选择消息渠道:Telegram(推荐新手)、WhatsApp、飞书等
- 安装守护进程:使 Gateway 作为系统服务运行
步骤 4:配置本地模型(零成本方案)
在
~/.openclaw/openclaw.json 中配置 Ollama:步骤 5:验证并启动
4.3 Mac Mini 7×24 小时运行配置
4.4 接入飞书/钉钉(国内用户)
五、在线虚拟机/云服务器部署详解
5.1 国内云服务商方案
方案 A:阿里云轻量应用服务器(推荐国内用户)
优势: 预装 OpenClaw 应用镜像,一键部署
部署步骤:
- 登录阿里云控制台 → 轻量应用服务器 → 选择 OpenClaw 应用镜像
- 选择套餐(内存必须 2GiB 及以上)
- 进入服务器概览 → 应用详情 → 点击 “一键放通” 开启防火墙(放行端口 18789/TCP)
- 配置百炼 API Key(标准按量计费 或 Coding Plan 固定月费)
- 执行获取 Token 命令
- 通过
http://<服务器IP>:18789/?token=xxx访问控制面板
方案 B:腾讯云 Lighthouse
部署步骤:
- 腾讯云控制台 → Lighthouse → AI 智能体 → Clawdbot/OpenClaw 模板
- 选择规格(建议 2核2G 及以上)
- SSH 连接后执行:
方案 C:手动部署到任意 VPS
适用于已有 VPS 或非主流云商用户:
5.2 海外云服务商方案
DigitalOcean 1-Click Deploy
通过 DigitalOcean Marketplace 搜索 “OpenClaw” → 选择 1-Click Deploy。
其他平台
平台 | 起步价 | 设置时间 | 特点 |
Emergent.sh | 免费层 | ~5 分钟 | 预构建 “chip”,无需终端 |
Hostinger VPS | 2.99 美金/月 | ~10 分钟 | 独立 IP,99.9% SLA |
Railway.app | 0-5 美金/月 | ~8 分钟 | 需挂载持久化存储 /data |
Render | 免费-7 美金/月 | ~12 分钟 | 基础设施即代码部署 |
Northflank | 5-10 美金/月 | ~7 分钟 | 一键模板 + 持久化存储 |
Cloudflare Workers | 5 美金/月起 | ~15 分钟 | 无服务器、高扩展性 |
5.3 国内云成本对比
云厂商 | 价格 | 配置 | 适用场景 |
阿里云 | 68元/年 | 2核2G + 200Mbps + 40GB | 性价比首选 |
腾讯云 | 99元/年 | 2核2G + 50Mbps + 50GB | 全渠道接入 |
百度云 | 0.01元首月 | 2核4G + 200GB | 试用体验 |
AWS | 免费半年 + 100 美金额度 | t3.small 2核2G + 30GB | 海外用户 |
六、Docker 容器化部署
Docker 部署是安全性和隔离性最好的方案,强烈推荐用于生产环境。
6.1 快速启动
docker-setup.sh 自动完成:构建 Gateway 镜像 → 运行 Onboarding → 启动 Docker Compose → 生成认证 Token。6.2 手动 Docker Compose 部署
6.3 环境变量配置
6.4 Agent 沙箱配置
OpenClaw 支持为 Agent 创建隔离的 Docker 沙箱容器:
沙箱镜像构建:
6.5 Docker 安全加固
默认安全配置:
readOnlyRoot: true— 只读根文件系统
capDrop: ["ALL"]— 丢弃所有 Linux capabilities
pidsLimit: 256— 进程数限制
memory: "1g"/memorySwap: "2g"— 内存限制
network: "none"— 无出站网络
seccompProfile+apparmorProfile支持
- 容器以非 root 用户运行 (uid 1000)
七、macOS 虚拟机部署(Lume)
适合需要 iMessage 集成 或 完全隔离 环境的场景。
7.1 系统要求
- Apple Silicon Mac (M1/M2/M3/M4)
- macOS Sequoia 或更高版本
- ~60GB 可用磁盘空间
- ~20 分钟初始设置时间
7.2 部署步骤
7.3 iMessage 集成(BlueBubbles)
- 在 VM 中安装并配置 BlueBubbles
- 启用 BlueBubbles Web API
- 配置 Webhook 指向 Gateway
- 在
openclaw.json中添加 BlueBubbles 渠道凭证
7.4 VM 快照与恢复
八、Token 成本深度分析
⚠️重要警告
8.1 成本构成分析
Token 消耗的六大来源:
来源 | 占比 | 说明 |
上下文累积 | 40-50% | 会话历史无限增长,每次请求重发全部对话 |
工具输出存储 | 20-30% | 大型 JSON/日志持久化到历史文件 |
系统提示词 | 10-15% | 复杂提示词重复传输,缓存 5 分钟过期 |
多轮推理 | 10-15% | 复杂任务需要多次连续 API 调用 |
模型选择 | 5-10% | 简单任务使用昂贵模型 |
心跳任务 | 5-10% | 后台进程配置不当导致过多调用 |
8.2 各模型价格对比
模型 | 输入成本 | 输出成本 | 相对成本 |
Claude Opus 4.5 | 15 美金/百万 tokens | 75 美金/百万 tokens | 基线(最贵) |
Claude Sonnet 4.5 | 3 美金/百万 tokens | 15 美金/百万 tokens | 标准 |
Claude Haiku 4.5 | 1 美金/百万 tokens | 5 美金/百万 tokens | ~Sonnet 的 1⁄3 |
Gemini 3.0 Flash | 0.075 美金/百万 | 0.30 美金/百万 | ~Sonnet 的 1⁄40 |
Deepseek V3 | 0.27 美金/百万 | 类似 | ~Sonnet 的 1⁄11 |
8.3 真实用户月费基准
使用强度 | 月 Token 消耗 | 月费用 | 典型场景 |
轻度 | 5-20M | 10-30 美金 | 日常问答 |
中度 | 20-50M | 30-70 美金 | 自动化工作流 |
重度 | 50-200M | 70-150+ 美金 | 7×24 助手 |
极端 | 180M+ | 3,600+ 美金 | 持续自动化 |
8.4 🔴 Token “烧钱”真实案例
案例 1:18.75 美金的一夜
一个简单的”心跳”检查(每 30 分钟验证一次任务是否待处理),将整个 120,000 token 上下文窗口发送到 Claude Opus API:
- 每次请求:~0.75 美金
- 一晚 25 次请求:18.75 美金
- 一周成本:~250 美金
案例 2:11 美金/天的”待机”状态
即使使用轻量级的 Gemini 3 Flash 模型处于近乎”待机”状态:
- 单日 Token 消耗:4000-5000 万 Tokens
- 单日成本:11 美金
案例 3:380 美金/天的社交媒体监控
Reddit 用户报告让 AI 助手仅阅读社交媒体:
- 每 30 分钟处理新帖:8 美金
- 每天成本:超过 380 美金
8.5 Token 成本优化策略
策略 1:会话重置(节省 40-60%)
独立任务完成后重置会话,防止上下文膨胀。
策略 2:智能模型路由(节省 50-80%)
“日常任务使用 Haiku 或 Gemini Flash,仅在复杂推理时切换到 Sonnet/Opus。”
策略 3:隔离大型操作(节省 20-30%)
将产生大量输出的命令在独立会话中执行,防止上下文污染。
策略 4:缓存优化(节省 30-50%)
配置低 temperature (0.2),心跳间隔设在 TTL 限制以下,保持缓存有效。
策略 5:上下文窗口限制(节省 20-40%)
将默认的 400K 上下文缩减到 50-100K tokens。
策略 6:本地模型回退(节省 60-80%)
使用 Ollama + 本地模型处理简单任务,彻底消除 API 成本。
🎯 综合优化效果
真实用户通过组合策略实现 77% 总成本降低:
- 优化前:150 美金/月
- 优化后:35 美金/月
- 年节省:1,380 美金
8.6 预算建议
预算级别 | 月费 | 策略 |
极简 | 0 美金 | 纯本地 Ollama 模型 |
低预算 | 10-30 美金 | 仅使用 Haiku;每日重置会话 |
中等 | 30-70 美金 | Sonnet 处理复杂任务,Haiku 处理简单任务 |
高级 | 150+ 美金 | 全部六项策略 + 本地回退 + 供应商折扣 |
九、安全风险与漏洞全解析
⚠️安全警告
9.1 CVE-2026-25253:一键远程代码执行
这是 OpenClaw 迄今最严重的安全漏洞。
项目 | 详情 |
CVE 编号 | CVE-2026-25253 |
CVSS 评分 | 8.8(高危) |
影响版本 | 2026.1.29 之前所有版本 |
修复版本 | 2026.1.29(2026年1月30日发布) |
发现者 | Mav Levin (DepthFirst) |
公告编号 | GHSA-g8p2-7wf7-98mq |
漏洞类型: Token 泄露 → 完整 Gateway 接管 → 未认证远程代码执行
攻击链详解:
影响范围:
- 一键远程代码执行(整个过程仅需毫秒级)
- 获得操作员级 Gateway API 访问权限
- 任意修改配置
- 即使绑定到 localhost 也可执行宿主机代码
9.2 Moltbook 数据库暴露事件
项目 | 详情 |
时间 | 2026年1月31日 |
项目 | Moltbook(OpenClaw 生态社交平台) |
严重性 | 高 |
问题 | 底层数据库配置错误,API Keys 公开可访问 |
影响 | 攻击者可冒充平台上任何已注册的 AI Agent(包括 Andrej Karpathy 等知名账号) |
9.3 923 个网关完全暴露事件
通过 Shodan 扫描发现 923 个 OpenClaw Gateway 完全暴露在互联网上:
- 无认证、无密码
- 攻击者可劫持这些实例
- 可提取所有存储的 API Key 和对话历史
- OpenClaw 通常被授予 Shell 访问、浏览器控制等高权限
9.4 恶意 VS Code 扩展事件
时间: 2026年1月27日
名为 “ClawdBot Agent” 的 VS Code 扩展被发现包含 ScreenConnect RAT(远程访问木马)。安装后攻击者可完全控制用户计算机。
9.5 加密货币诈骗
在 Moltbot → OpenClaw 更名窗口期,出现了假冒的 $CLAWD 代币,市值一度达到 1600 万美金。
9.6 六大安全攻击向量
攻击向量 | 风险等级 | 说明 | 缓解措施 |
提示词注入 | 🔴 高 | 所有模型都受影响,系统提示词无法完全防御 | 工具白名单、沙箱、渠道限制 |
跨用户泄露 | 🟡 中 | 默认 DM 共享同一会话 | 配置 dmScope: "per-channel-peer" |
浏览器控制风险 | 🔴 高 | 模型可访问浏览器已登录的所有账户 | 使用专用浏览器 Profile |
插件执行风险 | 🟡 中 | 插件在 Gateway 进程内运行 | 版本锁定、代码审查 |
第三方技能包 | 🔴 高 | 任何人可发布技能包,可能暗藏钓鱼代码 | 仅安装可信来源、审查代码 |
Token URL 泄露 | 🔴 极高 | 包含认证凭据的完整 URL 泄露 = 管理员权限被盗 | 妥善保管、定期轮换 |
9.7 真实受害案例
有用户反映 OpenClaw 在执行”清理任务”时,误删了电脑中所有重要照片
这个案例说明:
- AI Agent 拥有的系统权限必须严格限制
- 人工确认机制对于破坏性操作至关重要
- 沙箱隔离是保护主系统的最后防线
十、官方安全解决方案
10.1 认证加固(v2026.1.29 重大变更)
auth: "none" 模式已被永久移除。 所有实例必须使用以下认证方式之一:10.2 DM 访问策略
OpenClaw 支持四种 DM 策略:
策略 | 说明 | 推荐场景 |
pairing(默认) | 未知发送者收到限时配对码 | 个人使用 |
allowlist | 完全阻止未知发送者 | 企业/生产环境 |
open | 允许任何人(需显式 "*" 白名单) | 不推荐 |
disabled | 忽略所有入站 DM | 仅群组模式 |
10.3 沙箱隔离架构
工作区访问控制:
workspaceAccess: "none"— Agent 工作区不可访问(最安全)
workspaceAccess: "ro"— 只读挂载到/agent
workspaceAccess: "rw"— 完全读写访问
会话隔离:
dmScope: "main"— 所有 DM 共享一个会话(默认,有跨用户泄露风险)
dmScope: "per-channel-peer"— 每个发送者+渠道对隔离
dmScope: "per-account-channel-peer"— 多账户进一步隔离
10.4 安全审计工具
审计检测项目:
- DM/群组策略配置错误
- 开放房间中的过高工具权限
- 网络暴露(LAN 绑定、Funnel、弱认证)
- 浏览器控制远程暴露
- 凭据/配置/状态的文件权限问题
- 未签名插件
- 过时模型配置
10.5 网络安全加固清单
10.6 多 Agent 安全分级
10.7 事件响应流程
发现异常后的紧急处理:
立即遏制:
轮换凭据:
- Gateway 认证 Token/密码
- 远程客户端凭据
- 所有 Provider/API 凭据
十一、参考资源
英文资源
中文资源
安全相关资源
- 漏洞报告邮箱:security@openclaw.ai
官方资源
- 作者:红尘客
- 链接:https://notion.hhymc.top:18443/article/32ba9a09-ba30-80c6-af73-c3ff07081c8d
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
.jpg?t=34da9a09-ba30-80c5-b508-dac3cb7dc93f)
.jpg?t=366a9a09-ba30-8038-ba3b-ce59ff59cde4)
.jpg?t=35aa9a09-ba30-808b-97e7-d6a1d42e9119)
.jpg?t=351a9a09-ba30-8058-8523-ff170f9fe536)