[OpenClaw 文档]网关与运维--网关

2026年 6月 1日 OpenClaw SE_You

.ocdoc h2 { margin-top:2em; padding-bottom:.3em; border-bottom:2px solid #FF5A36; color:#FF5A36; }
.ocdoc h3 { margin-top:1.5em; color:#333; }
.ocdoc pre { background:#1e1e2e; color:#cdd6f4; padding:16px; border-radius:8px; overflow-x:auto; font-size:14px; line-height:1.6; }
.ocdoc code { font-family:'JetBrains Mono','Fira Code',Consolas,monospace; }
.ocdoc pre code { background:none; padding:0; color:inherit; }
.ocdoc :not(pre)>code { background:#f0f0f0; padding:2px 6px; border-radius:3px; font-size:.9em; color:#d63384; }
.ocdoc table { border-collapse:collapse; margin:1em 0; }
.ocdoc th,.ocdoc td { border:1px solid #ddd; padding:8px 12px; }
.ocdoc th { background:#f5f5f5; }
.ocdoc blockquote { border-left:4px solid #FF5A36; padding:.5em 1em; background:#fff7f4; color:#555; margin:1em 0; }
.ocdoc .page-sep { margin:2.5em 0; border:none; border-top:1px dashed #ccc; }
.ocdoc .page-title { color:#444; font-size:1.3em; margin-top:1em; padding:.4em .6em; background:#fafafa; border-left:4px solid #FF5A36; }
.ocdoc .src-link { font-size:.85em; color:#888; margin-top:2em; padding-top:1em; border-top:1px solid #e0e0e0; }
.ocdoc .toc-box { background:#f8f9fa; padding:1em 1.5em; border-radius:6px; margin:1em 0; }

本文档汇总了 OpenClaw 官方文档站 网关与运维 > 网关子模块下的全部 26 篇内容，源自 docs.openclaw.ai/zh-CN。

📄 Gateway 网关运行手册

原文：https://docs.openclaw.ai/zh-CN/gateway

使用本页处理 Gateway 网关服务的第 1 天启动和第 2 天运维。

以症状为先的诊断，包含精确的命令阶梯和日志特征。

面向任务的设置指南 + 完整配置参考。

SecretRef 契约、运行时快照行为，以及迁移/重载操作。

精确的 secrets apply 目标/路径规则，以及仅引用认证配置档案行为。

5 分钟本地启动

openclaw gateway --port 18789
# debug/trace mirrored to stdio
openclaw gateway --port 18789 --verbose
# force-kill listener on selected port, then start
openclaw gateway --force

openclaw gateway status
openclaw status
openclaw logs --follow

健康基线：Runtime: running、Connectivity probe: ok，以及与你预期匹配的 Capability: ...。当你需要读取范围的 RPC 证明，而不只是可达性时，请使用 openclaw gateway status --require-rpc。

openclaw channels status --probe

在 Gateway 网关可达时，这会按账户运行实时渠道探测和可选审计。
如果 Gateway 网关不可达，CLI 会回退到仅配置的渠道摘要，而不是
实时探测输出。

Gateway 网关配置重载会监视活动配置文件路径（从配置档案/状态默认值解析，或在设置 OPENCLAW_CONFIG_PATH 时使用该路径）。
默认模式为 gateway.reload.mode="hybrid"。
首次成功加载后，运行中的进程会提供活动的内存配置快照；成功重载会以原子方式替换该快照。

运行时模型

一个始终运行的进程，用于路由、控制平面和渠道连接。
单个多路复用端口用于：
WebSocket 控制/RPC
HTTP API，OpenAI 兼容（/v1/models、/v1/embeddings、/v1/chat/completions、/v1/responses、/tools/invoke）
控制 UI 和钩子
默认绑定模式：loopback。
默认要求认证。共享密钥设置使用
gateway.auth.token / gateway.auth.password（或
OPENCLAW_GATEWAY_TOKEN / OPENCLAW_GATEWAY_PASSWORD），非 loopback
反向代理设置可以使用 gateway.auth.mode: "trusted-proxy"。

OpenAI 兼容端点

OpenClaw 现在最有价值的兼容性接口是：

GET /v1/models
GET /v1/models/{id}
POST /v1/embeddings
POST /v1/chat/completions
POST /v1/responses

为什么这组端点重要：

大多数 Open WebUI、LobeChat 和 LibreChat 集成会先探测 /v1/models。
许多 RAG 和记忆流水线期望 /v1/embeddings。
Agent 原生客户端越来越偏好 /v1/responses。

规划说明：

/v1/models 以智能体为先：它会返回 openclaw、openclaw/default 和 openclaw/<agentId>。
openclaw/default 是稳定别名，始终映射到配置的默认智能体。
当你想覆盖后端提供商/模型时，请使用 x-openclaw-model；否则所选智能体的常规模型和嵌入设置仍由其自身控制。

这些都运行在主 Gateway 网关端口上，并使用与 Gateway 网关其余 HTTP API 相同的可信操作员认证边界。

端口和绑定优先级

设置	解析顺序
Gateway 网关端口	`--port` → `OPENCLAW_GATEWAY_PORT` → `gateway.port` → `18789`
绑定模式	CLI/覆盖设置 → `gateway.bind` → `loopback`

已安装的 Gateway 网关服务会在监督程序元数据中记录解析后的 --port。更改 gateway.port 后，运行 openclaw doctor --fix 或 openclaw gateway install --force，以便 launchd/systemd/schtasks 在新端口上启动进程。

Gateway 网关启动会在为非 loopback 绑定预置本地
控制 UI 来源时使用相同的有效端口和绑定。例如，--bind lan --port 3000
会在运行时验证执行前预置 http://localhost:3000 和 http://127.0.0.1:3000。
请将任何远程浏览器来源（例如 HTTPS 代理 URL）显式添加到
gateway.controlUi.allowedOrigins。

热重载模式

`gateway.reload.mode`	行为
`off`	不重载配置
`hot`	仅应用热安全更改
`restart`	遇到需要重启的更改时重启
`hybrid`（默认）	安全时热应用，需要时重启

操作员命令集

openclaw gateway status
openclaw gateway status --deep   # adds a system-level service scan
openclaw gateway status --json
openclaw gateway install
openclaw gateway restart
openclaw gateway stop
openclaw secrets reload
openclaw logs --follow
openclaw doctor

gateway status --deep 用于额外的服务发现（LaunchDaemons/systemd 系统
单元/schtasks），而不是更深层的 RPC 健康探测。

多个 Gateway 网关（同一主机）

大多数安装应当每台机器运行一个 Gateway 网关。单个 Gateway 网关可以承载多个
智能体和渠道。

只有在你有意需要隔离或救援机器人时，才需要多个 Gateway 网关。

有用的检查：

openclaw gateway status --deep
openclaw gateway probe

预期结果：

gateway status --deep 可以报告 Other gateway-like services detected (best effort)，
并在仍存在陈旧 launchd/systemd/schtasks 安装时打印清理提示。
当多个目标响应时，gateway probe 可能警告 multiple reachable gateways。
如果这是有意的，请为每个 Gateway 网关隔离端口、配置/状态和工作区根目录。

每个实例的检查清单：

唯一的 gateway.port
唯一的 OPENCLAW_CONFIG_PATH
唯一的 OPENCLAW_STATE_DIR
唯一的 agents.defaults.workspace

示例：

OPENCLAW_CONFIG_PATH=~/.openclaw/a.json OPENCLAW_STATE_DIR=~/.openclaw-a openclaw gateway --port 19001
OPENCLAW_CONFIG_PATH=~/.openclaw/b.json OPENCLAW_STATE_DIR=~/.openclaw-b openclaw gateway --port 19002

详细设置：/gateway/multiple-gateways。

远程访问

首选：Tailscale/VPN。
后备：SSH 隧道。

ssh -N -L 18789:127.0.0.1:18789 user@host

然后让客户端在本地连接到 ws://127.0.0.1:18789。

SSH 隧道不会绕过 Gateway 网关认证。对于共享密钥认证，客户端即使通过
隧道也仍必须发送 token/password。对于带身份信息的模式，
请求仍必须满足相应的认证路径。

参见：远程 Gateway 网关、认证、Tailscale。

监督和服务生命周期

使用受监督运行以获得接近生产环境的可靠性。

openclaw gateway install
openclaw gateway status
openclaw gateway restart
openclaw gateway stop

使用 openclaw gateway restart 进行重启。不要串联 openclaw gateway stop 和 openclaw gateway start 来替代重启。

在 macOS 上，gateway stop 默认使用 launchctl bootout，这会从当前启动会话中移除 LaunchAgent，而不会持久化禁用状态，因此 KeepAlive 自动恢复在意外崩溃后仍然有效，gateway start 也能干净地重新启用。要在重启后仍持续阻止自动重生，请传入 --disable：openclaw gateway stop --disable。

LaunchAgent 标签是 ai.openclaw.gateway（默认）或 ai.openclaw.<profile>（命名配置档案）。openclaw doctor 会审计并修复服务配置漂移。

openclaw gateway install
systemctl --user enable --now openclaw-gateway[-<profile>].service
openclaw gateway status

要在登出后保持运行，请启用用户驻留：

sudo loginctl enable-linger <user>

需要自定义安装路径时的手动用户单元示例：

[Unit]
Description=OpenClaw Gateway
After=network-online.target
Wants=network-online.target

[Service]
ExecStart=/usr/local/bin/openclaw gateway --port 18789
Restart=always
RestartSec=5
TimeoutStopSec=30
TimeoutStartSec=30
SuccessExitStatus=0 143
KillMode=control-group

[Install]
WantedBy=default.target

openclaw gateway install
openclaw gateway status --json
openclaw gateway restart
openclaw gateway stop

原生 Windows 托管启动使用名为 OpenClaw Gateway
（命名配置档案使用 OpenClaw Gateway (<profile>)）的计划任务。如果计划任务
创建被拒绝，OpenClaw 会回退到每用户启动文件夹启动器，
该启动器指向状态目录中的 gateway.cmd。

对多用户/常久在线主机使用系统单元。

sudo systemctl daemon-reload
sudo systemctl enable --now openclaw-gateway[-<profile>].service

使用与用户单元相同的服务内容，但将其安装到
/etc/systemd/system/openclaw-gateway[-<profile>].service 下，并在你的
openclaw 二进制文件位于其他位置时调整
ExecStart=。

不要同时让 openclaw doctor --fix 为相同配置档案/端口安装用户级 Gateway 网关服务。Doctor 在发现系统级 OpenClaw Gateway 网关服务时会拒绝该自动安装；当系统单元拥有生命周期时，请使用 OPENCLAW_SERVICE_REPAIR_POLICY=external。

开发配置档案快速路径

openclaw --dev setup
openclaw --dev gateway --allow-unconfigured
openclaw --dev status

默认设置包含隔离的状态/配置以及基础 Gateway 网关端口 19001。

协议快速参考（操作员视角）

第一个客户端帧必须是 connect。
Gateway 网关返回 hello-ok 快照（presence、health、stateVersion、uptimeMs、限制/策略）。
hello-ok.features.methods / events 是保守的发现列表，而不是
每个可调用辅助路由的生成式转储。
请求：req(method, params) → res(ok/payload|error)。
常见事件包括 connect.challenge、agent、chat、
session.message、session.tool、sessions.changed、presence、tick、
health、heartbeat、配对/审批生命周期事件，以及 shutdown。

智能体运行分为两个阶段：

立即接受确认（status:"accepted"）
最终完成响应（status:"ok"|"error"），中间会有流式传输的 agent 事件。

查看完整协议文档：Gateway 网关协议。

运行检查

存活性

打开 WS 并发送 connect。
预期收到带快照的 hello-ok 响应。

就绪性

openclaw gateway status
openclaw channels status --probe
openclaw health

缺口恢复

事件不会重放。发生序列缺口时，先刷新状态（health、system-presence）再继续。

常见故障特征

签名	可能的问题
`refusing to bind gateway ... without auth`	非 loopback 绑定，且没有有效的 Gateway 网关认证路径
`another gateway instance is already listening` / `EADDRINUSE`	端口冲突
`Gateway start blocked: set gateway.mode=local`	配置设为远程模式，或损坏的配置中缺少 local-mode 标记
连接期间出现 `unauthorized`	客户端和 Gateway 网关之间的认证不匹配

如需完整诊断步骤，请使用 Gateway 网关故障排除。

安全保证

当 Gateway 网关不可用时，Gateway 网关协议客户端会快速失败（没有隐式直接渠道回退）。
无效/非连接首帧会被拒绝并关闭。
优雅关闭会在套接字关闭前发出 shutdown 事件。

相关：

📄 配置

原文：https://docs.openclaw.ai/zh-CN/gateway/configuration

OpenClaw 会从 ~/.openclaw/openclaw.json 读取可选的 JSON5 配置。
活动配置路径必须是常规文件。符号链接的 openclaw.json
布局不支持 OpenClaw 所有的写入；原子写入可能会替换
该路径，而不是保留符号链接。如果你将配置放在默认状态目录之外，
请将 OPENCLAW_CONFIG_PATH 直接指向真实文件。

如果文件缺失，OpenClaw 会使用安全默认值。添加配置的常见原因：

连接渠道并控制谁可以向机器人发消息
设置模型、工具、沙箱隔离或自动化（cron、钩子）
调整会话、媒体、网络或 UI

查看完整参考，了解每个可用字段。

智能体和自动化在编辑配置前，应使用 config.schema.lookup 获取精确的字段级
文档。将此页面用于面向任务的指导，并将
配置参考用于更全面的
字段映射和默认值。

刚开始使用配置？ 从 openclaw onboard 开始进行交互式设置，或查看配置示例指南，获取完整的可复制粘贴配置。

最小配置

// ~/.openclaw/openclaw.json
{
  agents: { defaults: { workspace: "~/.openclaw/workspace" } },
  channels: { whatsapp: { allowFrom: ["+15555550123"] } },
}

编辑配置

bash openclaw onboard # full onboarding flow openclaw configure # config wizard

bash openclaw config get agents.defaults.workspace openclaw config set agents.defaults.heartbeat.every "2h" openclaw config unset plugins.entries.brave.config.webSearch.apiKey

打开 http://127.0.0.1:18789，并使用配置标签页。
控制 UI 会从实时配置架构渲染表单，包括字段
title / description 文档元数据，以及可用时的插件和渠道架构，
并提供 原始 JSON 编辑器作为应急出口。对于下钻
UI 和其他工具，Gateway 网关还会暴露 config.schema.lookup，
用于获取一个按路径限定的架构节点以及直接子项摘要。

直接编辑 ~/.openclaw/openclaw.json。Gateway 网关会监听该文件并自动应用更改（参见热重载）。

严格验证

OpenClaw 只接受完全匹配架构的配置。未知键、格式错误的类型或无效值会导致 Gateway 网关拒绝启动。唯一的根级例外是 $schema（字符串），这样编辑器可以附加 JSON Schema 元数据。

openclaw config schema 会打印控制 UI
和验证使用的规范 JSON Schema。config.schema.lookup 会获取单个按路径限定的节点以及
子项摘要，供下钻工具使用。字段 title/description 文档元数据
会贯穿嵌套对象、通配符（*）、数组项（[]）以及 anyOf/
oneOf/allOf 分支。加载清单注册表后，运行时插件和渠道架构会合并进来。

验证失败时：

Gateway 网关不会启动
只有诊断命令可用（openclaw doctor、openclaw logs、openclaw health、openclaw status）
运行 openclaw doctor 查看确切问题
运行 openclaw doctor --fix（或 --yes）应用修复

Gateway 网关会在每次成功启动后保留一个可信的最后已知良好副本，
但启动和热重载不会自动恢复它。如果 openclaw.json
验证失败（包括插件本地验证），Gateway 网关启动会失败，或
重载会被跳过，而当前运行时会保留最后接受的配置。
运行 openclaw doctor --fix（或 --yes）来修复带前缀/被覆盖的配置，或
恢复最后已知良好副本。当候选配置包含已脱敏的密钥占位符（例如 ***）时，
会跳过提升为最后已知良好副本。

常见任务

每个渠道在 channels.<provider> 下都有自己的配置部分。请查看对应渠道页面了解设置步骤：

- [WhatsApp](/zh-CN/channels/whatsapp) - `channels.whatsapp`
- [Telegram](/zh-CN/channels/telegram) - `channels.telegram`
- [Discord](/zh-CN/channels/discord) - `channels.discord`
- [Feishu](/zh-CN/channels/feishu) - `channels.feishu`
- [Google Chat](/zh-CN/channels/googlechat) - `channels.googlechat`
- [Microsoft Teams](/zh-CN/channels/msteams) - `channels.msteams`
- [Slack](/zh-CN/channels/slack) - `channels.slack`
- [Signal](/zh-CN/channels/signal) - `channels.signal`
- [iMessage](/zh-CN/channels/imessage) - `channels.imessage`
- [Mattermost](/zh-CN/channels/mattermost) - `channels.mattermost`

所有渠道都共享相同的私信策略模式：

```json5
{
  channels: {
    telegram: {
      enabled: true,
      botToken: "123:abc",
      dmPolicy: "pairing",   // pairing | allowlist | open | disabled
      allowFrom: ["tg:123"], // only for allowlist/open
    },
  },
}
```

设置主模型和可选后备模型：

```json5
{
  agents: {
    defaults: {
      model: {
        primary: "anthropic/claude-sonnet-4-6",
        fallbacks: ["openai/gpt-5.4"],
      },
      models: {
        "anthropic/claude-sonnet-4-6": { alias: "Sonnet" },
        "openai/gpt-5.4": { alias: "GPT" },
      },
    },
  },
}
```

- `agents.defaults.models` 定义模型目录，并充当 `/model` 的允许列表；`provider/*` 条目会将 `/model`、`/models` 和模型选择器过滤为选定的提供商，同时仍使用动态模型发现。
- 使用 `openclaw config set agents.defaults.models '<json>' --strict-json --merge` 添加允许列表条目，而不会移除现有模型。除非传入 `--replace`，否则会移除条目的普通替换会被拒绝。
- 模型引用使用 `provider/model` 格式（例如 `anthropic/claude-opus-4-6`）。
- `agents.defaults.imageMaxDimensionPx` 控制记录/工具图像缩小（默认 `1200`）；较低值通常会减少大量截图运行中的视觉 token 使用量。
- 请查看 [Models CLI](/zh-CN/concepts/models)，了解如何在聊天中切换模型；查看[模型故障转移](/zh-CN/concepts/model-failover)，了解凭证轮换和后备行为。
- 对于自定义/自托管提供商，请查看参考中的[自定义提供商](/zh-CN/gateway/config-tools#custom-providers-and-base-urls)。

私信访问通过每个渠道的 dmPolicy 控制：

- `"pairing"`（默认）：未知发送者会收到一次性配对码以供批准
- `"allowlist"`：仅允许 `allowFrom`（或已配对允许存储）中的发送者
- `"open"`：允许所有入站私信（需要 `allowFrom: ["*"]`）
- `"disabled"`：忽略所有私信

对于群组，请使用 `groupPolicy` + `groupAllowFrom` 或渠道专用允许列表。

查看[完整参考](/zh-CN/gateway/config-channels#dm-and-group-access)，了解每个渠道的详细信息。

群组消息默认要求提及。按智能体配置触发模式，并将可见房间回复保持在默认消息工具路径上，除非你有意使用旧版自动最终回复：

```json5
{
  messages: {
    visibleReplies: "automatic", // set "message_tool" to require message-tool sends everywhere
    groupChat: {
      visibleReplies: "message_tool", // default; use "automatic" for legacy room replies
    },
  },
  agents: {
    list: [
      {
        id: "main",
        groupChat: {
          mentionPatterns: ["@openclaw", "openclaw"],
        },
      },
    ],
  },
  channels: {
    whatsapp: {
      groups: { "*": { requireMention: true } },
    },
  },
}
```

- **元数据提及**：原生 @ 提及（WhatsApp 点按提及、Telegram @bot 等）
- **文本模式**：`mentionPatterns` 中的安全正则模式
- **可见回复**：`messages.visibleReplies` 可以全局要求通过消息工具发送；`messages.groupChat.visibleReplies` 会为群组/渠道覆盖该设置。
- 查看[完整参考](/zh-CN/gateway/config-channels#group-chat-mention-gating)，了解可见回复模式、每渠道覆盖项和自聊模式。

使用 agents.defaults.skills 作为共享基线，然后用
agents.list[].skills 覆盖特定智能体：

```json5
{
  agents: {
    defaults: {
      skills: ["github", "weather"],
    },
    list: [
      { id: "writer" }, // inherits github, weather
      { id: "docs", skills: ["docs-search"] }, // replaces defaults
      { id: "locked-down", skills: [] }, // no skills
    ],
  },
}
```

- 省略 `agents.defaults.skills`，默认不限制 Skills。
- 省略 `agents.list[].skills` 以继承默认值。
- 设置 `agents.list[].skills: []` 表示没有 Skills。
- 查看 [Skills](/zh-CN/tools/skills)、[Skills 配置](/zh-CN/tools/skills-config)，以及
  [配置参考](/zh-CN/gateway/config-agents#agents-defaults-skills)。

控制 Gateway 网关重启看起来陈旧的渠道时的激进程度：

```json5
{
  gateway: {
    channelHealthCheckMinutes: 5,
    channelStaleEventThresholdMinutes: 30,
    channelMaxRestartsPerHour: 10,
  },
  channels: {
    telegram: {
      healthMonitor: { enabled: false },
      accounts: {
        alerts: {
          healthMonitor: { enabled: true },
        },
      },
    },
  },
}
```

- 设置 `gateway.channelHealthCheckMinutes: 0` 可全局禁用健康监控重启。
- `channelStaleEventThresholdMinutes` 应大于或等于检查间隔。
- 使用 `channels.<provider>.healthMonitor.enabled` 或 `channels.<provider>.accounts.<id>.healthMonitor.enabled` 为单个渠道或账号禁用自动重启，而不禁用全局监控。
- 查看[健康检查](/zh-CN/gateway/health)了解运维调试，并查看[完整参考](/zh-CN/gateway/configuration-reference#gateway)了解所有字段。

在负载较高或低功耗主机上，给本地客户端更多时间完成认证前 WebSocket 握手：

```json5
{
  gateway: {
    handshakeTimeoutMs: 30000,
  },
}
```

- 默认值为 `15000` 毫秒。
- `OPENCLAW_HANDSHAKE_TIMEOUT_MS` 对一次性服务或 shell 覆盖仍然优先生效。
- 优先修复启动/事件循环停顿；此旋钮适用于健康但预热期间较慢的主机。

会话控制对话连续性和隔离：

```json5
{
  session: {
    dmScope: "per-channel-peer",  // recommended for multi-user
    threadBindings: {
      enabled: true,
      idleHours: 24,
      maxAgeHours: 0,
    },
    reset: {
      mode: "daily",
      atHour: 4,
      idleMinutes: 120,
    },
  },
}

    - `dmScope`: `main`（共享）| `per-peer` | `per-channel-peer` | `per-account-channel-peer`
    - `threadBindings`：线程绑定会话路由的全局默认值（Discord 支持 `/focus`、`/unfocus`、`/agents`、`/session idle` 和 `/session max-age`）。
    - 请参阅[会话管理](/zh-CN/concepts/session)，了解作用域、身份链接和发送策略。
    - 请参阅[完整参考](/zh-CN/gateway/config-agents#session)，了解所有字段。

  </Accordion>

  <Accordion title="启用沙箱隔离">
    在隔离的沙箱运行时中运行智能体会话：

    ```json5
    {
      agents: {
        defaults: {
          sandbox: {
            mode: "non-main",  // off | non-main | all
            scope: "agent",    // session | agent | shared
          },
        },
      },
    }
    ```

    先构建镜像 - 如果使用源码检出，请运行 `scripts/sandbox-setup.sh`；如果使用 npm 安装，请参阅[沙箱隔离 § 镜像和设置](/zh-CN/gateway/sandboxing#images-and-setup)中的内联 `docker build` 命令。

    请参阅[沙箱隔离](/zh-CN/gateway/sandboxing)获取完整指南，并参阅[完整参考](/zh-CN/gateway/config-agents#agentsdefaultssandbox)了解所有选项。

  </Accordion>

  <Accordion title="为官方 iOS 构建启用基于中继的推送">
    基于中继的推送在 `openclaw.json` 中配置。

    在 Gateway 网关配置中设置：

    ```json5
    {
      gateway: {
        push: {
          apns: {
            relay: {
              baseUrl: "https://relay.example.com",
              // Optional. Default: 10000
              timeoutMs: 10000,
            },
          },
        },
      },
    }
    ```

    等效 CLI：

    ```bash
    openclaw config set gateway.push.apns.relay.baseUrl https://relay.example.com
    ```

    这会执行以下操作：

    - 让 Gateway 网关通过外部中继发送 `push.test`、唤醒轻推和重连唤醒。
    - 使用已配对 iOS 应用转发的、限定到注册范围的发送授权。Gateway 网关不需要部署范围的中继令牌。
    - 将每个基于中继的注册绑定到 iOS 应用配对的 Gateway 网关身份，因此另一个 Gateway 网关无法复用已存储的注册。
    - 让本地/手动 iOS 构建继续使用直接 APNs。基于中继的发送仅适用于通过中继注册的官方分发构建。
    - 必须匹配烘焙到官方/TestFlight iOS 构建中的中继基础 URL，确保注册和发送流量到达同一中继部署。

    端到端流程：

    1. 安装使用相同中继基础 URL 编译的官方/TestFlight iOS 构建。
    2. 在 Gateway 网关上配置 `gateway.push.apns.relay.baseUrl`。
    3. 将 iOS 应用与 Gateway 网关配对，并让节点会话和操作者会话都连接。
    4. iOS 应用获取 Gateway 网关身份，使用 App Attest 加应用收据向中继注册，然后将基于中继的 `push.apns.register` 载荷发布到已配对的 Gateway 网关。
    5. Gateway 网关存储中继句柄和发送授权，然后将它们用于 `push.test`、唤醒轻推和重连唤醒。

    运维说明：

    - 如果你将 iOS 应用切换到不同的 Gateway 网关，请重新连接应用，使其能够发布绑定到该 Gateway 网关的新中继注册。
    - 如果你发布指向不同中继部署的新 iOS 构建，应用会刷新其缓存的中继注册，而不是复用旧的中继来源。

    兼容性说明：

    - `OPENCLAW_APNS_RELAY_BASE_URL` 和 `OPENCLAW_APNS_RELAY_TIMEOUT_MS` 仍可作为临时环境变量覆盖使用。
    - `OPENCLAW_APNS_RELAY_ALLOW_HTTP=true` 仍是仅限 loopback 的开发逃生口；不要在配置中持久保存 HTTP 中继 URL。

    请参阅 [iOS 应用](/zh-CN/platforms/ios#relay-backed-push-for-official-builds)了解端到端流程，并参阅[认证和信任流程](/zh-CN/platforms/ios#authentication-and-trust-flow)了解中继安全模型。

  </Accordion>

  <Accordion title="设置 Heartbeat（定期签到）">
    ```json5
    {
      agents: {
        defaults: {
          heartbeat: {
            every: "30m",
            target: "last",
          },
        },
      },
    }
    ```

    - `every`：时长字符串（`30m`、`2h`）。设置为 `0m` 可禁用。
    - `target`: `last` | `none` | `<channel-id>`（例如 `discord`、`matrix`、`telegram` 或 `whatsapp`）
    - `directPolicy`：用于私信风格 Heartbeat 目标的 `allow`（默认）或 `block`
    - 请参阅 [Heartbeat](/zh-CN/gateway/heartbeat)获取完整指南。

  </Accordion>

  <Accordion title="配置 cron 作业">
    ```json5
    {
      cron: {
        enabled: true,
        maxConcurrentRuns: 2, // cron dispatch + isolated cron agent-turn execution
        sessionRetention: "24h",
        runLog: {
          maxBytes: "2mb",
          keepLines: 2000,
        },
      },
    }
    ```

    - `sessionRetention`：从 `sessions.json` 中剪除已完成的隔离运行会话（默认 `24h`；设置为 `false` 可禁用）。
    - `runLog`：按大小和保留行数剪除 `cron/runs/<jobId>.jsonl`。
    - 请参阅 [Cron 作业](/zh-CN/automation/cron-jobs)获取功能概览和 CLI 示例。

  </Accordion>

  <Accordion title="设置 webhook（hooks）">
    在 Gateway 网关上启用 HTTP webhook 端点：

    ```json5
    {
      hooks: {
        enabled: true,
        token: "shared-secret",
        path: "/hooks",
        defaultSessionKey: "hook:ingress",
        allowRequestSessionKey: false,
        allowedSessionKeyPrefixes: ["hook:"],
        mappings: [
          {
            match: { path: "gmail" },
            action: "agent",
            agentId: "main",
            deliver: true,
          },
        ],
      },
    }
    ```

    安全说明：
    - 将所有 hook/webhook 载荷内容视为不可信输入。
    - 使用专用的 `hooks.token`；不要复用共享 Gateway 网关令牌。
    - Hook 认证仅支持标头（`Authorization: Bearer ...` 或 `x-openclaw-token`）；查询字符串令牌会被拒绝。
    - `hooks.path` 不能是 `/`；请将 webhook 入口保持在专用子路径上，例如 `/hooks`。
    - 除非进行严格限定范围的调试，否则保持禁用不安全内容绕过标志（`hooks.gmail.allowUnsafeExternalContent`、`hooks.mappings[].allowUnsafeExternalContent`）。
    - 如果启用 `hooks.allowRequestSessionKey`，还应设置 `hooks.allowedSessionKeyPrefixes` 以约束调用方选择的会话键。
    - 对于由 hook 驱动的智能体，优先使用强大的现代模型档位和严格的工具策略（例如仅限消息发送，并在可行时加上沙箱隔离）。

    请参阅[完整参考](/zh-CN/gateway/configuration-reference#hooks)，了解所有映射选项和 Gmail 集成。

  </Accordion>

  <Accordion title="配置多智能体路由">
    使用独立工作区和会话运行多个隔离智能体：

    ```json5
    {
      agents: {
        list: [
          { id: "home", default: true, workspace: "~/.openclaw/workspace-home" },
          { id: "work", workspace: "~/.openclaw/workspace-work" },
        ],
      },
      bindings: [
        { agentId: "home", match: { channel: "whatsapp", accountId: "personal" } },
        { agentId: "work", match: { channel: "whatsapp", accountId: "biz" } },
      ],
    }
    ```

    请参阅[多智能体](/zh-CN/concepts/multi-agent)和[完整参考](/zh-CN/gateway/config-agents#multi-agent-routing)，了解绑定规则和每智能体访问配置文件。

  </Accordion>

  <Accordion title="将配置拆分到多个文件（$include）">
    使用 `$include` 来组织大型配置：

    ```json5
    // ~/.openclaw/openclaw.json
    {
      gateway: { port: 18789 },
      agents: { $include: "./agents.json5" },
      broadcast: {
        $include: ["./clients/a.json5", "./clients/b.json5"],
      },
    }
    ```

    - **单个文件**：替换包含它的对象
    - **文件数组**：按顺序深度合并（后者优先）
    - **同级键**：在 include 之后合并（覆盖已 include 的值）
    - **嵌套 include**：最多支持 10 层深度
    - **相对路径**：相对于执行 include 的文件解析
    - **OpenClaw 拥有的写入**：当一次写入只改变一个由单文件 include 支持的顶级分区时，例如 `plugins: { $include: "./plugins.json5" }`，OpenClaw 会更新该被 include 的文件，并保持 `openclaw.json` 不变
    - **不支持的写透**：根 include、include 数组以及带有同级覆盖的 include 会对 OpenClaw 拥有的写入失败关闭，而不是展平配置
    - **限制范围**：`$include` 路径必须解析到保存 `openclaw.json` 的目录下。若要在机器或用户之间共享目录树，请将 `OPENCLAW_INCLUDE_ROOTS` 设置为额外目录的路径列表（POSIX 上为 `:`，Windows 上为 `;`），include 可以引用这些目录。符号链接会被解析并重新检查，因此即使某路径在词法上位于配置目录中，但真实目标逃离了每个允许的根，也仍会被拒绝。
    - **错误处理**：对缺失文件、解析错误和循环 include 给出清晰错误

  </Accordion>
</AccordionGroup>

## 配置热重载

Gateway 网关会监视 `~/.openclaw/openclaw.json` 并自动应用更改 - 大多数设置无需手动重启。

直接文件编辑在通过验证前会被视为不可信。监视器会等待编辑器临时写入/重命名抖动稳定，读取最终文件，并拒绝无效的外部编辑且不重写 `openclaw.json`。OpenClaw 拥有的配置写入在写入前使用同一个 schema 门禁；破坏性覆盖（例如丢弃 `gateway.mode` 或将文件缩小超过一半）会被拒绝，并另存为 `.rejected.*` 以供检查。

如果看到 `config reload skipped (invalid config)`，或启动报告 `Invalid config`，请检查配置，运行 `openclaw config validate`，然后运行 `openclaw doctor --fix` 进行修复。请参阅 [Gateway 网关故障排除](/zh-CN/gateway/troubleshooting#gateway-rejected-invalid-config)查看清单。

### 重载模式

| 模式                   | 行为                                                                                |
| ---------------------- | --------------------------------------------------------------------------------------- |
| **`hybrid`**（默认） | 立即热应用安全更改。对关键更改自动重启。           |
| **`hot`**              | 仅热应用安全更改。当需要重启时记录警告 - 由你处理。 |
| **`restart`**          | 任何配置更改都会重启 Gateway 网关，无论是否安全。                                 |
| **`off`**              | 禁用文件监视。更改会在下次手动重启时生效。                 |

```json5
{
  gateway: {
    reload: { mode: "hybrid", debounceMs: 300 },
  },
}

哪些会热应用，哪些需要重启

大多数字段都可以无停机热应用。在 hybrid 模式下，需要重启的更改会自动处理。

类别	字段	需要重启？
渠道	`channels.*`、`web`（WhatsApp）- 所有内置和插件渠道	否
智能体和模型	`agent`、`agents`、`models`、`routing`	否
自动化	`hooks`、`cron`、`agent.heartbeat`	否
会话和消息	`session`、`messages`	否
工具和媒体	`tools`、`browser`、`skills`、`mcp`、`audio`、`talk`	否
UI 和其他	`ui`、`logging`、`identity`、`bindings`	否
Gateway 网关服务器	`gateway.*`（端口、绑定、认证、tailscale、TLS、HTTP）	是
基础设施	`discovery`、`plugins`	是

gateway.reload 和 gateway.remote 是例外 - 更改它们不会触发重启。

重载规划

当你编辑通过 $include 引用的源文件时，OpenClaw 会根据源文件编写的布局来规划重载，而不是根据扁平化的内存视图。
这样可以让热重载决策（热应用或重启）保持可预测，即使单个顶级小节位于它自己的被包含文件中，例如
plugins: { $include: "./plugins.json5" }。如果源布局存在歧义，重载规划会以失败关闭的方式处理。

配置 RPC（程序化更新）

对于通过 Gateway 网关 API 写入配置的工具，优先使用此流程：

config.schema.lookup 用于检查一个子树（浅层 schema 节点 + 子项摘要）
config.get 用于获取当前快照以及 hash
config.patch 用于部分更新（JSON merge patch：对象合并，null 删除，数组替换）
只有在你打算替换整个配置时才使用 config.apply
update.run 用于显式自更新并重启；当重启后的会话需要运行一个后续轮次时，请包含 continuationMessage
update.status 用于检查最新的更新重启哨兵，并在重启后验证正在运行的版本

Agents 应将 config.schema.lookup 作为获取精确字段级文档和约束的第一站。当它们需要更完整的配置映射、默认值或指向专用子系统参考的链接时，请使用配置参考。

控制平面写入（config.apply、config.patch、update.run）按每个 deviceId+clientIp 每 60 秒 3 个请求进行限速。重启请求会合并，然后在重启周期之间强制执行 30 秒冷却时间。
update.status 是只读的，但限定为管理员范围，因为重启哨兵可能包含更新步骤摘要和命令输出尾部。

部分补丁示例：

openclaw gateway call config.get --params '{}'  # capture payload.hash
openclaw gateway call config.patch --params '{
  "raw": "{ channels: { telegram: { groups: { \"*\": { requireMention: false } } } } }",
  "baseHash": "<hash>"
}'

config.apply 和 config.patch 都接受 raw、baseHash、sessionKey、note 和 restartDelayMs。当配置已存在时，这两个方法都需要 baseHash。

环境变量

OpenClaw 会从父进程以及以下来源读取环境变量：

当前工作目录中的 .env（如果存在）
~/.openclaw/.env（全局后备）

这两个文件都不会覆盖现有环境变量。你也可以在配置中设置内联环境变量：

{
  env: {
    OPENROUTER_API_KEY: "sk-or-...",
    vars: { GROQ_API_KEY: "gsk-..." },
  },
}

如果启用且预期键名未设置，OpenClaw 会运行你的登录 shell，并只导入缺失的键名：

{
  env: {
    shellEnv: { enabled: true, timeoutMs: 15000 },
  },
}

等效环境变量：OPENCLAW_LOAD_SHELL_ENV=1

在任意配置字符串值中使用 ${VAR_NAME} 引用环境变量：

{
  gateway: { auth: { token: "${OPENCLAW_GATEWAY_TOKEN}" } },
  models: { providers: { custom: { apiKey: "${CUSTOM_API_KEY}" } } },
}

规则：

只匹配大写名称：[A-Z_][A-Z0-9_]*
缺失或为空的变量会在加载时抛出错误
使用 $${VAR} 转义以输出字面值
可在 $include 文件中使用
内联替换："${BASE}/v1" → "https://api.example.com/v1"

对于支持 SecretRef 对象的字段，你可以使用：

{
  models: {
    providers: {
      openai: { apiKey: { source: "env", provider: "default", id: "OPENAI_API_KEY" } },
    },
  },
  skills: {
    entries: {
      "image-lab": {
        apiKey: {
          source: "file",
          provider: "filemain",
          id: "/skills/entries/image-lab/apiKey",
        },
      },
    },
  },
  channels: {
    googlechat: {
      serviceAccountRef: {
        source: "exec",
        provider: "vault",
        id: "channels/googlechat/serviceAccount",
      },
    },
  },
}

SecretRef 详细信息（包括用于 env/file/exec 的 secrets.providers）位于密钥管理。
支持的凭证路径列在 SecretRef 凭证范围中。

完整优先级和来源请参阅环境。

完整参考

有关完整的逐字段参考，请参阅 配置参考。

相关：配置示例 · 配置参考 · Doctor

📄 配置示例

原文：https://docs.openclaw.ai/zh-CN/gateway/configuration-examples

下面的示例与当前配置结构保持一致。有关完整参考和每个字段的说明，请参阅配置。

快速开始

绝对最小配置

{
  agents: { defaults: { workspace: "~/.openclaw/workspace" } },
  channels: { whatsapp: { allowFrom: ["+15555550123"] } },
}

保存到 ~/.openclaw/openclaw.json，然后你就可以用该号码私信机器人。

扩展示例（主要选项）

JSON5 允许你使用注释和尾随逗号。普通 JSON 也可以。

{
  // Environment + shell
  env: {
    OPENROUTER_API_KEY: "sk-or-...",
    vars: {
      GROQ_API_KEY: "gsk-...",
    },
    shellEnv: {
      enabled: true,
      timeoutMs: 15000,
    },
  },

  // Auth profile metadata (secrets live in auth-profiles.json)
  auth: {
    profiles: {
      "anthropic:default": { provider: "anthropic", mode: "api_key" },
      "anthropic:work": { provider: "anthropic", mode: "api_key" },
      "openai:default": { provider: "openai", mode: "api_key" },
      "openai-codex:personal": { provider: "openai-codex", mode: "oauth" },
    },
    order: {
      anthropic: ["anthropic:default", "anthropic:work"],
      openai: ["openai:default"],
      "openai-codex": ["openai-codex:personal"],
    },
  },

  // Identity is per agent — set it on agents.list[].identity below.

  // Logging
  logging: {
    level: "info",
    file: "/tmp/openclaw/openclaw.log",
    consoleLevel: "info",
    consoleStyle: "pretty",
    redactSensitive: "tools",
  },

  // Message formatting
  messages: {
    messagePrefix: "[openclaw]",
    visibleReplies: "automatic",
    responsePrefix: ">",
    ackReaction: "👀",
    ackReactionScope: "group-mentions",
    groupChat: {
      historyLimit: 50,
      visibleReplies: "message_tool", // normal final replies stay private in groups/channels
    },
    queue: {
      mode: "steer",
      debounceMs: 500,
      cap: 20,
      drop: "summarize",
      byChannel: {
        whatsapp: "steer",
        telegram: "steer",
        discord: "steer",
        slack: "steer",
        signal: "steer",
        imessage: "steer",
        webchat: "steer",
      },
    },
  },

  // Tooling
  tools: {
    media: {
      audio: {
        enabled: true,
        maxBytes: 20971520,
        models: [
          { provider: "openai", model: "gpt-4o-mini-transcribe" },
          // Optional CLI fallback (Whisper binary):
          // { type: "cli", command: "whisper", args: ["--model", "base", "{{MediaPath}}"] }
        ],
        timeoutSeconds: 120,
      },
      video: {
        enabled: true,
        maxBytes: 52428800,
        models: [{ provider: "google", model: "gemini-3-flash-preview" }],
      },
    },
  },

  // Session behavior
  session: {
    scope: "per-sender",
    dmScope: "per-channel-peer", // recommended for multi-user inboxes
    reset: {
      mode: "daily",
      atHour: 4,
      idleMinutes: 60,
    },
    resetByChannel: {
      discord: { mode: "idle", idleMinutes: 10080 },
    },
    resetTriggers: ["/new", "/reset"],
    store: "~/.openclaw/agents/default/sessions/sessions.json",
    maintenance: {
      mode: "warn",
      pruneAfter: "30d",
      maxEntries: 500,
      resetArchiveRetention: "30d", // duration or false
      maxDiskBytes: "500mb", // optional
      highWaterBytes: "400mb", // optional (defaults to 80% of maxDiskBytes)
    },
    typingIntervalSeconds: 5,
    sendPolicy: {
      default: "allow",
      rules: [{ action: "deny", match: { channel: "discord", chatType: "group" } }],
    },
  },

  // Channels
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      allowFrom: ["+15555550123"],
      groupPolicy: "allowlist",
      groupAllowFrom: ["+15555550123"],
      groups: { "*": { requireMention: true } },
    },

    telegram: {
      enabled: true,
      botToken: "YOUR_TELEGRAM_BOT_TOKEN",
      allowFrom: ["123456789"],
      groupPolicy: "allowlist",
      groupAllowFrom: ["123456789"],
      groups: { "*": { requireMention: true } },
    },

    discord: {
      enabled: true,
      token: "YOUR_DISCORD_BOT_TOKEN",
      dm: { enabled: true, allowFrom: ["123456789012345678"] },
      guilds: {
        "123456789012345678": {
          slug: "friends-of-openclaw",
          requireMention: false,
          channels: {
            general: { allow: true },
            help: { allow: true, requireMention: true },
          },
        },
      },
    },

    slack: {
      enabled: true,
      botToken: "xoxb-REPLACE_ME",
      appToken: "xapp-REPLACE_ME",
      channels: {
        "#general": { allow: true, requireMention: true },
      },
      dm: { enabled: true, allowFrom: ["U123"] },
      slashCommand: {
        enabled: true,
        name: "openclaw",
        sessionPrefix: "slack:slash",
        ephemeral: true,
      },
    },
  },

  // Agent runtime
  agents: {
    defaults: {
      workspace: "~/.openclaw/workspace",
      userTimezone: "America/Chicago",
      model: {
        primary: "anthropic/claude-sonnet-4-6",
        fallbacks: ["anthropic/claude-opus-4-6", "openai/gpt-5.4"],
      },
      imageModel: {
        primary: "openrouter/anthropic/claude-sonnet-4-6",
      },
      models: {
        "anthropic/claude-opus-4-6": { alias: "opus" },
        "anthropic/claude-sonnet-4-6": { alias: "sonnet" },
        "openai/gpt-5.4": { alias: "gpt" },
      },
      skills: ["github", "weather"], // inherited by agents that omit list[].skills
      thinkingDefault: "low",
      verboseDefault: "off",
      toolProgressDetail: "explain",
      reasoningDefault: "off",
      elevatedDefault: "on",
      blockStreamingDefault: "off",
      blockStreamingBreak: "text_end",
      blockStreamingChunk: {
        minChars: 800,
        maxChars: 1200,
        breakPreference: "paragraph",
      },
      blockStreamingCoalesce: {
        idleMs: 1000,
      },
      humanDelay: {
        mode: "natural",
      },
      timeoutSeconds: 600,
      mediaMaxMb: 5,
      typingIntervalSeconds: 5,
      maxConcurrent: 3,
      heartbeat: {
        every: "30m",
        model: "anthropic/claude-sonnet-4-6",
        target: "last",
        directPolicy: "allow", // allow (default) | block
        to: "+15555550123",
        prompt: "HEARTBEAT",
        ackMaxChars: 300,
      },
      memorySearch: {
        provider: "gemini",
        model: "gemini-embedding-001",
        remote: {
          apiKey: "${GEMINI_API_KEY}",
        },
        extraPaths: ["../team-docs", "/srv/shared-notes"],
      },
      sandbox: {
        mode: "non-main",
        scope: "session", // preferred over legacy perSession: true
        workspaceRoot: "~/.openclaw/sandboxes",
        docker: {
          image: "openclaw-sandbox:bookworm-slim",
          workdir: "/workspace",
          readOnlyRoot: true,
          tmpfs: ["/tmp", "/var/tmp", "/run"],
          network: "none",
          user: "1000:1000",
        },
        browser: {
          enabled: false,
        },
      },
    },
    list: [
      {
        id: "main",
        default: true,
        identity: {
          name: "Samantha",
          theme: "helpful sloth",
          emoji: "🦥",
        },
        // inherits defaults.skills -> github, weather
        groupChat: {
          mentionPatterns: ["@openclaw", "openclaw"],
        },
        thinkingDefault: "high", // per-agent thinking override
        reasoningDefault: "on", // per-agent reasoning visibility
        fastModeDefault: false, // per-agent fast mode
      },
      {
        id: "quick",
        skills: [], // no skills for this agent
        fastModeDefault: true, // this agent always runs fast
        thinkingDefault: "off",
      },
    ],
  },

  tools: {
    allow: ["exec", "process", "read", "write", "edit", "apply_patch"],
    deny: ["browser", "canvas"],
    exec: {
      backgroundMs: 10000,
      timeoutSec: 1800,
      cleanupMs: 1800000,
    },
    elevated: {
      enabled: true,
      allowFrom: {
        whatsapp: ["+15555550123"],
        telegram: ["123456789"],
        discord: ["123456789012345678"],
        slack: ["U123"],
        signal: ["+15555550123"],
        imessage: ["user@example.com"],
        webchat: ["session:demo"],
      },
    },
  },

  // Custom model providers
  models: {
    mode: "merge",
    providers: {
      "custom-proxy": {
        baseUrl: "http://localhost:4000/v1",
        apiKey: "LITELLM_KEY",
        api: "openai-responses",
        authHeader: true,
        headers: { "X-Proxy-Region": "us-west" },
        models: [
          {
            id: "llama-3.1-8b",
            name: "Llama 3.1 8B",
            api: "openai-responses",
            reasoning: false,
            input: ["text"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 128000,
            maxTokens: 32000,
          },
        ],
      },
    },
  },

  // Cron jobs
  cron: {
    enabled: true,
    store: "~/.openclaw/cron/cron.json",
    maxConcurrentRuns: 2, // cron dispatch + isolated cron agent-turn execution
    sessionRetention: "24h",
    runLog: {
      maxBytes: "2mb",
      keepLines: 2000,
    },
  },

  // Webhooks
  hooks: {
    enabled: true,
    path: "/hooks",
    token: "shared-secret",
    presets: ["gmail"],
    transformsDir: "~/.openclaw/hooks/transforms",
    mappings: [
      {
        id: "gmail-hook",
        match: { path: "gmail" },
        action: "agent",
        wakeMode: "now",
        name: "Gmail",
        sessionKey: "hook:gmail:{{messages[0].id}}",
        messageTemplate: "From: {{messages[0].from}}\nSubject: {{messages[0].subject}}",
        textTemplate: "{{messages[0].snippet}}",
        deliver: true,
        channel: "last",
        to: "+15555550123",
        thinking: "low",
        timeoutSeconds: 300,
        transform: {
          module: "gmail.js",
          export: "transformGmail",
        },
      },
    ],
    gmail: {
      account: "openclaw@gmail.com",
      label: "INBOX",
      topic: "projects/<project-id>/topics/gog-gmail-watch",
      subscription: "gog-gmail-watch-push",
      pushToken: "shared-push-token",
      hookUrl: "http://127.0.0.1:18789/hooks/gmail",
      includeBody: true,
      maxBytes: 20000,
      renewEveryMinutes: 720,
      serve: { bind: "127.0.0.1", port: 8788, path: "/" },
      tailscale: { mode: "funnel", path: "/gmail-pubsub" },
    },
  },

  // Gateway + networking
  gateway: {
    mode: "local",
    port: 18789,
    bind: "loopback",
    controlUi: { enabled: true, basePath: "/openclaw" },
    auth: {
      mode: "token",
      token: "gateway-token",
      allowTailscale: true,
    },
    tailscale: { mode: "serve", resetOnExit: false },
    remote: { url: "ws://gateway.tailnet:18789", token: "remote-token" },
    reload: { mode: "hybrid", debounceMs: 300 },
  },

  skills: {
    allowBundled: ["gemini", "peekaboo"],
    load: {
      extraDirs: ["~/Projects/agent-scripts/skills"],
      allowSymlinkTargets: ["~/Projects/agent-scripts/skills"],
    },
    install: {
      preferBrew: true,
      nodeManager: "npm", // npm | pnpm | yarn | bun
      allowUploadedArchives: false,
    },
    entries: {
      "image-lab": {
        enabled: true,
        apiKey: "GEMINI_KEY_HERE",
        env: { GEMINI_API_KEY: "GEMINI_KEY_HERE" },
      },
      peekaboo: { enabled: true },
    },
  },
}

符号链接到同级技能仓库

当内置技能根目录包含指向同级仓库的符号链接时使用此配置，例如 ~/.agents/skills/manager -> ~/Projects/manager/skills。

{
  skills: {
    load: {
      extraDirs: ["~/Projects/manager/skills"],
      allowSymlinkTargets: ["~/Projects/manager/skills"],
    },
  },
}

extraDirs 会将同级仓库扫描为显式技能根目录。
allowSymlinkTargets 允许符号链接的技能文件夹解析到该受信任的真实目标根目录，而不会允许任意符号链接逃逸。

常见模式

带一个覆盖项的共享技能基线

{
  agents: {
    defaults: {
      workspace: "~/.openclaw/workspace",
      skills: ["github", "weather"],
    },
    list: [
      { id: "main", default: true },
      { id: "docs", workspace: "~/.openclaw/workspace-docs", skills: ["docs-search"] },
    ],
  },
}

agents.defaults.skills 是共享基线。
agents.list[].skills 会为某个智能体替换该基线。
当某个智能体不应看到任何 Skills 时，使用 skills: []。

多平台设置

{
  agents: { defaults: { workspace: "~/.openclaw/workspace" } },
  channels: {
    whatsapp: { allowFrom: ["+15555550123"] },
    telegram: {
      enabled: true,
      botToken: "YOUR_TOKEN",
      allowFrom: ["123456789"],
    },
    discord: {
      enabled: true,
      token: "YOUR_TOKEN",
      dm: { allowFrom: ["123456789012345678"] },
    },
  },
}

可信节点网络自动批准

除非你控制网络路径，否则保持设备配对为手动模式。对于专用
实验室或 tailnet 子网，你可以选择使用精确 CIDR 或 IP 启用首次节点设备自动批准：

{
  gateway: {
    nodes: {
      pairing: {
        autoApproveCidrs: ["192.168.1.0/24", "fd00:1234:5678::/64"],
      },
    },
  },
}

未设置时，此功能保持关闭。它仅适用于没有请求作用域的新 role: node 配对。操作员/浏览器客户端，以及角色、作用域、元数据或
公钥升级仍需要手动批准。

安全私信模式（共享收件箱 / 多用户私信）

如果不止一个人可以私信你的机器人（allowFrom 中有多个条目、为多人批准配对，或使用 dmPolicy: "open"），请启用安全私信模式，这样不同发送者的私信默认不会共享同一个上下文：

{
  // Secure DM mode (recommended for multi-user or sensitive DM agents)
  session: { dmScope: "per-channel-peer" },

  channels: {
    // Example: WhatsApp multi-user inbox
    whatsapp: {
      dmPolicy: "allowlist",
      allowFrom: ["+15555550123", "+15555550124"],
    },

    // Example: Discord multi-user inbox
    discord: {
      enabled: true,
      token: "YOUR_DISCORD_BOT_TOKEN",
      dm: { enabled: true, allowFrom: ["123456789012345678", "987654321098765432"] },
    },
  },
}

对于 Discord/Slack/Google Chat/Microsoft Teams/Mattermost/IRC，默认优先使用 ID 进行发送者授权。
只有在你明确接受该风险时，才为每个渠道启用直接可变的名称/邮箱/昵称匹配，即 dangerouslyAllowNameMatching: true。

Anthropic API key + MiniMax 回退

{
  auth: {
    profiles: {
      "anthropic:api": {
        provider: "anthropic",
        mode: "api_key",
      },
    },
    order: {
      anthropic: ["anthropic:api"],
    },
  },
  models: {
    providers: {
      minimax: {
        baseUrl: "https://api.minimax.io/anthropic",
        api: "anthropic-messages",
        apiKey: "${MINIMAX_API_KEY}",
      },
    },
  },
  agents: {
    defaults: {
      workspace: "~/.openclaw/workspace",
      model: {
        primary: "anthropic/claude-opus-4-6",
        fallbacks: ["minimax/MiniMax-M2.7"],
      },
    },
  },
}

工作机器人（受限访问）

{
  agents: {
    defaults: {
      workspace: "~/work-openclaw",
      elevatedDefault: "off",
    },
    list: [
      {
        id: "main",
        identity: {
          name: "WorkBot",
          theme: "professional assistant",
        },
      },
    ],
  },
  channels: {
    slack: {
      enabled: true,
      botToken: "xoxb-...",
      channels: {
        "#engineering": { allow: true, requireMention: true },
        "#general": { allow: true, requireMention: true },
      },
    },
  },
}

仅使用本地模型

{
  agents: {
    defaults: {
      workspace: "~/.openclaw/workspace",
      model: { primary: "lmstudio/my-local-model" },
    },
  },
  models: {
    mode: "merge",
    providers: {
      lmstudio: {
        baseUrl: "http://127.0.0.1:1234/v1",
        apiKey: "lmstudio",
        api: "openai-responses",
        models: [
          {
            id: "my-local-model",
            name: "Local Model",
            reasoning: false,
            input: ["text"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 196608,
            maxTokens: 8192,
          },
        ],
      },
    },
  },
}

提示

如果你设置 dmPolicy: "open"，对应的 allowFrom 列表必须包含 "*"。
提供商 ID 各不相同（电话号码、用户 ID、渠道 ID）。使用提供商文档确认格式。
后续可添加的可选部分：web、browser、ui、discovery、plugins、talk、signal、imessage。
参阅提供商和故障排除，了解更深入的设置说明。

📄 身份验证

原文：https://docs.openclaw.ai/zh-CN/gateway/authentication

此页面是模型提供商身份认证参考（API 密钥、OAuth、Claude CLI 复用，以及 Anthropic setup-token）。对于 Gateway 网关连接身份认证（token、password、trusted-proxy），请参阅配置和受信任代理身份认证。

OpenClaw 支持模型提供商使用 OAuth 和 API 密钥。对于常驻运行的 Gateway 网关主机，API 密钥通常是最可预测的选项。当订阅/OAuth 流程与你的提供商账号模型匹配时，也支持这些流程。

完整 OAuth 流程和存储布局请参阅 /concepts/oauth。
对于基于 SecretRef 的身份认证（env/file/exec 提供商），请参阅机密信息管理。
对于 models status --probe 使用的凭证可用性/原因代码规则，请参阅身份认证凭证语义。

Anthropic：Claude CLI 和 token 兼容性

Anthropic setup-token 身份认证仍作为受支持的 token 路径在 OpenClaw 中可用。Anthropic 工作人员后来告诉我们，OpenClaw 风格的 Claude CLI 使用方式已再次被允许，因此 OpenClaw 将 Claude CLI 复用和 claude -p 用法视为此集成的受认可方式，除非 Anthropic 发布新政策。当主机上可以使用 Claude CLI 复用时，它现在是首选路径。

对于长期存在的 Gateway 网关主机，Anthropic API 密钥仍然是最可预测的设置。如果你想在同一主机上复用现有 Claude 登录，请在新手引导/配置中使用 Anthropic Claude CLI 路径。

Claude CLI 复用的推荐主机设置：

# Run on the gateway host
claude auth login
claude auth status --text
openclaw models auth login --provider anthropic --method cli --set-default

这是一个两步设置：

在 Gateway 网关主机上让 Claude Code 自身登录 Anthropic。
告诉 OpenClaw 将 Anthropic 模型选择切换到本地 claude-cli
后端，并存储匹配的 OpenClaw 身份认证配置文件。

如果 claude 不在 PATH 中，请先安装 Claude Code，或将
agents.defaults.cliBackends.claude-cli.command 设置为真实二进制文件路径。

手动输入 token（任意提供商；写入 auth-profiles.json + 更新配置）：

openclaw models auth paste-token --provider openrouter

auth-profiles.json 仅存储凭证。规范形状是：

{
  "version": 1,
  "profiles": {
    "openrouter:default": {
      "type": "api_key",
      "provider": "openrouter",
      "key": "OPENROUTER_API_KEY"
    }
  }
}

OpenClaw 在运行时需要规范的 version + profiles 形状。如果较旧的安装仍有类似 { "openrouter": { "apiKey": "..." } } 的扁平文件，请运行 openclaw doctor --fix，将其重写为 openrouter:default API 密钥配置文件；Doctor 会在原文件旁保留一份 .legacy-flat.*.bak 副本。baseUrl、api、模型 ID、headers 和 timeouts 等端点细节应放在 openclaw.json 或 models.json 中的 models.providers.<id> 下，而不是放在 auth-profiles.json 中。

Bedrock auth: "aws-sdk" 等外部身份认证路由也不是凭证。如果你想要一个具名 Bedrock 路由，请在 openclaw.json 中放入 auth.profiles.<id>.mode: "aws-sdk"；不要将 type: "aws-sdk" 写入 auth-profiles.json。openclaw doctor --fix 会将旧版 AWS SDK 标记从凭证存储移动到配置元数据中。

静态凭证也支持身份认证配置文件引用：

api_key 凭证可以使用 keyRef: { source, provider, id }
token 凭证可以使用 tokenRef: { source, provider, id }
OAuth 模式配置文件不支持 SecretRef 凭证；如果 auth.profiles.<id>.mode 设置为 "oauth"，则会拒绝该配置文件由 SecretRef 支持的 keyRef/tokenRef 输入。

适合自动化的检查（过期/缺失时退出 1，即将过期时退出 2）：

openclaw models status --check

实时身份认证探测：

openclaw models status --probe

注意：

探测行可以来自身份认证配置文件、环境凭证或 models.json。
如果显式的 auth.order.<provider> 省略了已存储的配置文件，探测会为该配置文件报告
excluded_by_auth_order，而不是尝试它。
如果存在身份认证，但 OpenClaw 无法为该提供商解析可探测的模型候选项，探测会报告 status: no_model。
速率限制冷却可以按模型限定。某个配置文件针对一个模型处于冷却状态时，仍可用于同一提供商上的同级模型。

可选运维脚本（systemd/Termux）记录在这里：
身份认证监控脚本

Anthropic 说明

Anthropic claude-cli 后端已重新受支持。

Anthropic 工作人员告诉我们，此 OpenClaw 集成路径已再次被允许。
因此，OpenClaw 将 Claude CLI 复用和 claude -p 用法视为 Anthropic 支持运行的受认可方式，除非 Anthropic 发布新政策。
对于长期存在的 Gateway 网关主机和显式服务器端计费控制，Anthropic API 密钥仍然是最可预测的选择。

检查模型身份认证状态

openclaw models status
openclaw doctor

API 密钥轮换行为（Gateway 网关）

某些提供商支持在 API 调用遇到提供商速率限制时，使用备用密钥重试请求。

优先级顺序：
OPENCLAW_LIVE_<PROVIDER>_KEY（单个覆盖）
<PROVIDER>_API_KEYS
<PROVIDER>_API_KEY
<PROVIDER>_API_KEY_*
Google 提供商还会包含 GOOGLE_API_KEY 作为额外回退。
使用前会对同一密钥列表进行去重。
OpenClaw 仅对速率限制错误使用下一个密钥重试（例如
429、rate_limit、quota、resource exhausted、Too many concurrent requests、ThrottlingException、concurrency limit reached 或
workers_ai ... quota limit exceeded）。
非速率限制错误不会使用备用密钥重试。
如果所有密钥都失败，则返回最后一次尝试产生的最终错误。

控制使用哪个凭证

按会话（聊天命令）

使用 /model <alias-or-id>@<profileId> 为当前会话固定特定提供商凭证（示例配置文件 ID：anthropic:default、anthropic:work）。

使用 /model（或 /model list）获得紧凑选择器；使用 /model status 查看完整视图（候选项 + 下一个身份认证配置文件，以及已配置时的提供商端点详情）。

按智能体（CLI 覆盖）

为智能体设置显式身份认证配置文件顺序覆盖（存储在该智能体的 auth-state.json 中）：

openclaw models auth order get --provider anthropic
openclaw models auth order set --provider anthropic anthropic:default
openclaw models auth order clear --provider anthropic

使用 --agent <id> 指定特定智能体；省略它则使用已配置的默认智能体。
调试顺序问题时，openclaw models status --probe 会将被省略的
已存储配置文件显示为 excluded_by_auth_order，而不是静默跳过它们。
调试冷却问题时，请记住速率限制冷却可能绑定到某个模型 ID，
而不是整个提供商配置文件。

故障排除

“未找到凭证”

如果缺少 Anthropic 配置文件，请在 Gateway 网关主机上配置 Anthropic API 密钥，或设置 Anthropic setup-token 路径，然后重新检查：

openclaw models status

Token 即将过期/已过期

运行 openclaw models status 来确认哪个配置文件即将过期。如果 Anthropic token 配置文件缺失或已过期，请通过 setup-token 刷新该设置，或迁移到 Anthropic API 密钥。

📄 健康检查

原文：https://docs.openclaw.ai/zh-CN/gateway/health

无需猜测即可验证渠道连接性的简短指南。

快速检查

openclaw status — 本地摘要：Gateway 网关可达性/模式、更新提示、已关联渠道凭证年龄、会话 + 最近活动。
openclaw status --all — 完整本地诊断（只读、彩色、可安全粘贴用于调试）。
openclaw status --deep — 请求正在运行的 Gateway 网关执行实时健康探测（带 probe:true 的 health），在支持时包含按账号的渠道探测。
openclaw health — 请求正在运行的 Gateway 网关提供其健康快照（仅 WS；CLI 不直接连接渠道套接字）。
openclaw health --verbose — 强制执行实时健康探测并打印 Gateway 网关连接详情。
openclaw health --json — 机器可读的健康快照输出。
在 WhatsApp/WebChat 中发送独立消息 /status，无需调用智能体即可获得 Status 回复。
日志：跟踪 /tmp/openclaw/openclaw-*.log，并筛选 web-heartbeat、web-reconnect、web-auto-reply、web-inbound。

对于 Discord 和其他聊天提供商，会话行并不代表套接字存活状态。
openclaw sessions、Gateway 网关 sessions.list 和智能体 sessions_list 工具
读取的是已存储的对话状态。提供商可以重新连接并显示健康的渠道
Status，而此时可能尚未物化任何新的会话行。请使用上面的渠道 Status 和
健康命令进行实时连接性检查。

深度诊断

磁盘上的凭据：ls -l ~/.openclaw/credentials/whatsapp/<accountId>/creds.json（mtime 应该是近期时间）。
会话存储：ls -l ~/.openclaw/agents/<agentId>/sessions/sessions.json（路径可在配置中覆盖）。计数和最近收件人会通过 status 展示。
重新关联流程：当日志中出现 Status 代码 409–515 或 loggedOut 时，运行 openclaw channels logout && openclaw channels login --verbose。（注意：二维码登录流程在配对后遇到 Status 515 时会自动重启一次。）
诊断默认启用。除非设置了 diagnostics.enabled: false，否则 Gateway 网关会记录运行事实。内存事件记录 RSS/堆字节数、阈值压力和增长压力。存活性警告会在进程正在运行但已饱和时记录事件循环延迟、事件循环利用率、CPU 核心比率，以及活动/等待/排队的会话计数。超大负载事件会记录被拒绝、截断或分块的内容，以及可用时的大小和限制。它们不会记录消息文本、附件内容、webhook 正文、原始请求或响应正文、token、cookie 或秘密值。同一个 Heartbeat 会启动有界稳定性记录器，可通过 openclaw gateway stability 或 diagnostics.stability Gateway 网关 RPC 访问。当存在事件时，致命 Gateway 网关退出、关机超时和重启启动失败会将最新的记录器快照持久化到 ~/.openclaw/logs/stability/ 下；使用 openclaw gateway stability --bundle latest 检查最新保存的包。
对于缺陷报告，运行 openclaw gateway diagnostics export 并附上生成的 zip。导出内容会组合 Markdown 摘要、最新稳定性包、已脱敏日志元数据、已脱敏 Gateway 网关 Status/健康快照和配置形状。它适合共享：聊天文本、webhook 正文、工具输出、凭据、cookie、账号/消息标识符和秘密值都会被省略或遮蔽。参见诊断导出。

健康监控配置

gateway.channelHealthCheckMinutes：Gateway 网关检查渠道健康的频率。默认值：5。设置为 0 可全局禁用健康监控重启。
gateway.channelStaleEventThresholdMinutes：已连接渠道在被健康监控视为陈旧并重启之前可以保持空闲的时长。默认值：30。保持该值大于或等于 gateway.channelHealthCheckMinutes。
gateway.channelMaxRestartsPerHour：每个渠道/账号的健康监控重启滚动一小时上限。默认值：10。
channels.<provider>.healthMonitor.enabled：为特定渠道禁用健康监控重启，同时保留全局监控启用。
channels.<provider>.accounts.<accountId>.healthMonitor.enabled：多账号覆盖项，优先级高于渠道级设置。
这些按渠道覆盖项适用于目前公开它们的内置渠道监控器：Discord、Google Chat、iMessage、Microsoft Teams、Signal、Slack、Telegram 和 WhatsApp。

当出现故障时

logged out 或 Status 409–515 → 先用 openclaw channels logout，再用 openclaw channels login 重新关联。
Gateway 网关不可达 → 启动它：openclaw gateway --port 18789（如果端口被占用，请使用 --force）。
没有入站消息 → 确认已关联手机在线且发送者被允许（channels.whatsapp.allowFrom）；对于群聊，确保允许列表 + 提及规则匹配（channels.whatsapp.groups、agents.list[].groupChat.mentionPatterns）。

专用 “health” 命令

openclaw health 请求正在运行的 Gateway 网关提供其健康快照（CLI 不直接连接渠道
套接字）。默认情况下，它可以返回新的缓存 Gateway 网关快照；随后
Gateway 网关会在后台刷新该缓存。openclaw health --verbose 会改为强制执行
实时探测。该命令会在可用时报告已关联凭据/凭证年龄、
按渠道探测摘要、会话存储摘要和探测耗时。如果 Gateway 网关不可达，或探测失败/超时，它会以
非零状态退出。

选项：

--json：机器可读的 JSON 输出
--timeout <ms>：覆盖默认的 10 秒探测超时
--verbose：强制执行实时探测并打印 Gateway 网关连接详情
--debug：--verbose 的别名

健康快照包括：ok（布尔值）、ts（时间戳）、durationMs（探测时间）、按渠道 Status、智能体可用性和会话存储摘要。

📄 Heartbeat

原文：https://docs.openclaw.ai/zh-CN/gateway/heartbeat

Heartbeat 与 cron？ 请参阅自动化，了解何时使用两者。

Heartbeat 会在主会话中运行周期性智能体轮次，让模型可以提出需要注意的事项，而不会打扰你。

Heartbeat 是一个定时的主会话轮次，它不会创建后台任务记录。任务记录用于分离的工作（ACP 运行、子智能体、隔离的 cron 作业）。

故障排除：定时任务

快速开始（初学者）

保持 Heartbeat 启用（默认是 30m，对于 Anthropic OAuth/token 凭证，包括 Claude CLI 复用，则为 1h），或设置你自己的频率。

在智能体工作区中创建一个很小的 HEARTBEAT.md 检查清单或 tasks: 块。

target: "none" 是默认值；设置 target: "last" 可路由到最近的联系人。

- 启用 Heartbeat reasoning 投递以提高透明度。
- 如果 Heartbeat 运行只需要 HEARTBEAT.md，请使用轻量级启动上下文。
- 启用隔离会话，避免每次 Heartbeat 都发送完整对话历史。
- 将 Heartbeat 限制在活跃时段（本地时间）。

配置示例：

{
  agents: {
    defaults: {
      heartbeat: {
        every: "30m",
        target: "last", // explicit delivery to last contact (default is "none")
        directPolicy: "allow", // default: allow direct/DM targets; set "block" to suppress
        lightContext: true, // optional: only inject HEARTBEAT.md from bootstrap files
        isolatedSession: true, // optional: fresh session each run (no conversation history)
        skipWhenBusy: true, // optional: also defer when this agent's subagent or nested lanes are busy
        // activeHours: { start: "08:00", end: "24:00" },
        // includeReasoning: true, // optional: send separate `Reasoning:` message too
      },
    },
  },
}

默认值

间隔：30m（当检测到的凭证模式是 Anthropic OAuth/token 凭证，包括 Claude CLI 复用时，为 1h）。设置 agents.defaults.heartbeat.every 或按智能体设置 agents.list[].heartbeat.every；使用 0m 禁用。
提示正文（可通过 agents.defaults.heartbeat.prompt 配置）：Read HEARTBEAT.md if it exists (workspace context). Follow it strictly. Do not infer or repeat old tasks from prior chats. If nothing needs attention, reply HEARTBEAT_OK.
Heartbeat 提示会作为用户消息逐字发送。只有当默认智能体启用了 Heartbeat 时，系统提示才会包含 “Heartbeat” 部分，并且该运行会在内部被标记。
使用 0m 禁用 Heartbeat 时，普通运行也会从启动上下文中省略 HEARTBEAT.md，因此模型不会看到仅用于 Heartbeat 的指令。
活跃时段（heartbeat.activeHours）会按配置的时区检查。在时间窗口外，Heartbeat 会跳过，直到窗口内的下一个 tick。
当 cron 工作处于活跃或排队状态时，Heartbeat 会自动延后。设置 heartbeat.skipWhenBusy: true 后，如果某个智能体自己的基于会话键的子智能体或嵌套命令通道正忙，也会延后该智能体；同级智能体不会再仅因为另一个智能体有正在进行的子智能体工作而暂停。

Heartbeat 提示的用途

默认提示有意保持宽泛：

后台任务：“Consider outstanding tasks” 会提示智能体审查后续事项（收件箱、日历、提醒、排队工作），并提出任何紧急事项。
人工 check-in：“Checkup sometimes on your human during day time” 会提示偶尔发送轻量级的“你有什么需要吗？”消息，但会通过你配置的本地时区避免夜间打扰（请参阅时区）。

Heartbeat 可以响应已完成的后台任务，但 Heartbeat 运行本身不会创建任务记录。

如果你希望 Heartbeat 执行非常具体的事情（例如“检查 Gmail PubSub 统计信息”或“验证 Gateway 网关健康状况”），请将 agents.defaults.heartbeat.prompt（或 agents.list[].heartbeat.prompt）设置为自定义正文（逐字发送）。

响应契约

如果没有需要注意的事项，请回复 HEARTBEAT_OK。
支持工具的 Heartbeat 运行可以改为调用 heartbeat_respond，使用 notify: false 表示没有可见更新，或使用 notify: true 加 notificationText 发送警报。当存在结构化工具响应时，它优先于文本回退。
在 Heartbeat 运行期间，当 HEARTBEAT_OK 出现在回复的开头或结尾时，OpenClaw 会将其视为 ack。该 token 会被移除，如果剩余内容 ≤ ackMaxChars（默认：300），回复会被丢弃。
如果 HEARTBEAT_OK 出现在回复的中间，则不会被特殊处理。
对于警报，不要包含 HEARTBEAT_OK；只返回警报文本。

在 Heartbeat 之外，消息开头/结尾意外出现的 HEARTBEAT_OK 会被移除并记录日志；仅包含 HEARTBEAT_OK 的消息会被丢弃。

配置

{
  agents: {
    defaults: {
      heartbeat: {
        every: "30m", // default: 30m (0m disables)
        model: "anthropic/claude-opus-4-6",
        includeReasoning: false, // default: false (deliver separate Reasoning: message when available)
        lightContext: false, // default: false; true keeps only HEARTBEAT.md from workspace bootstrap files
        isolatedSession: false, // default: false; true runs each heartbeat in a fresh session (no conversation history)
        skipWhenBusy: false, // default: false; true also waits for this agent's subagent/nested lanes
        target: "last", // default: none | options: last | none | <channel id> (core or plugin, e.g. "imessage")
        to: "+15551234567", // optional channel-specific override
        accountId: "ops-bot", // optional multi-account channel id
        prompt: "Read HEARTBEAT.md if it exists (workspace context). Follow it strictly. Do not infer or repeat old tasks from prior chats. If nothing needs attention, reply HEARTBEAT_OK.",
        ackMaxChars: 300, // max chars allowed after HEARTBEAT_OK
      },
    },
  },
}

范围和优先级

agents.defaults.heartbeat 设置全局 Heartbeat 行为。
agents.list[].heartbeat 在其上合并；如果任何智能体有 heartbeat 块，只有这些智能体会运行 Heartbeat。
channels.defaults.heartbeat 设置所有渠道的可见性默认值。
channels.<channel>.heartbeat 覆盖渠道默认值。
channels.<channel>.accounts.<id>.heartbeat（多账号渠道）覆盖按渠道设置。

按智能体的 Heartbeat

如果任何 agents.list[] 条目包含 heartbeat 块，只有这些智能体会运行 Heartbeat。按智能体的块会合并到 agents.defaults.heartbeat 之上（因此你可以先设置一次共享默认值，再按智能体覆盖）。

示例：两个智能体，只有第二个智能体运行 Heartbeat。

{
  agents: {
    defaults: {
      heartbeat: {
        every: "30m",
        target: "last", // explicit delivery to last contact (default is "none")
      },
    },
    list: [
      { id: "main", default: true },
      {
        id: "ops",
        heartbeat: {
          every: "1h",
          target: "whatsapp",
          to: "+15551234567",
          timeoutSeconds: 45,
          prompt: "Read HEARTBEAT.md if it exists (workspace context). Follow it strictly. Do not infer or repeat old tasks from prior chats. If nothing needs attention, reply HEARTBEAT_OK.",
        },
      },
    ],
  },
}

活动时段示例

将 Heartbeat 限制在特定时区的工作时间内：

{
  agents: {
    defaults: {
      heartbeat: {
        every: "30m",
        target: "last", // explicit delivery to last contact (default is "none")
        activeHours: {
          start: "09:00",
          end: "22:00",
          timezone: "America/New_York", // optional; uses your userTimezone if set, otherwise host tz
        },
      },
    },
  },
}

在此窗口之外（美东时间上午 9 点前或晚上 10 点后），会跳过 Heartbeat。窗口内的下一次计划触发会正常运行。

24/7 设置

如果你想让 Heartbeat 全天运行，请使用以下模式之一：

完全省略 activeHours（无时间窗口限制；这是默认行为）。
设置全天窗口：activeHours: { start: "00:00", end: "24:00" }。

不要将 start 和 end 设置为相同时间（例如 08:00 到 08:00）。这会被视为零宽窗口，因此 Heartbeat 总会被跳过。

多账号示例

使用 accountId 在 Telegram 等多账号渠道上指定目标账号：

{
  agents: {
    list: [
      {
        id: "ops",
        heartbeat: {
          every: "1h",
          target: "telegram",
          to: "12345678:topic:42", // optional: route to a specific topic/thread
          accountId: "ops-bot",
        },
      },
    ],
  },
  channels: {
    telegram: {
      accounts: {
        "ops-bot": { botToken: "YOUR_TELEGRAM_BOT_TOKEN" },
      },
    },
  },
}

字段说明

Heartbeat 间隔（持续时间字符串；默认单位 = 分钟）。

Heartbeat 运行的可选模型覆盖（provider/model）。

启用后，在可用时也会投递单独的 Reasoning: 消息（形状与 /reasoning on 相同）。

为 true 时，Heartbeat 运行使用轻量级引导上下文，并且只保留工作区引导文件中的 HEARTBEAT.md。

为 true 时，每次 Heartbeat 都在没有先前对话历史的新会话中运行。使用与 cron sessionTarget: "isolated" 相同的隔离模式。显著降低每次 Heartbeat 的 token 成本。与 lightContext: true 结合可最大限度节省成本。投递路由仍使用主会话上下文。

为 true 时，Heartbeat 运行会在该智能体的额外繁忙通道上延后：它自己的按会话键标识的子智能体或嵌套命令工作。Cron 通道总是会延后 Heartbeat，即使没有此标志也是如此，因此本地模型宿主不会同时运行 cron 和 Heartbeat 提示。

Heartbeat 运行的可选会话键。

main（默认）：智能体主会话。
显式会话键（从 openclaw sessions --json 或会话 CLI 复制）。
会话键格式：参见会话和群组。

- last：投递到最近使用的外部渠道。
- 显式渠道：任何已配置的渠道或插件 ID，例如 discord、matrix、telegram 或 whatsapp。
- none（默认）：运行 Heartbeat 但不要对外投递。

控制直接/私信投递行为。allow：允许直接/私信 Heartbeat 投递。block：抑制直接/私信投递（reason=dm-blocked）。

可选接收者覆盖（渠道特定 ID，例如 WhatsApp 的 E.164 或 Telegram 聊天 ID）。对于 Telegram 话题/线程，使用 <chatId>:topic:<messageThreadId>。

多账号渠道的可选账号 ID。当 target: "last" 时，如果解析出的最近渠道支持账号，账号 ID 会应用于该渠道；否则会被忽略。如果账号 ID 与解析出的渠道中配置的账号不匹配，则会跳过投递。

覆盖默认提示词正文（不会合并）。

递送前 HEARTBEAT_OK 之后允许的最大字符数。

为 true 时，在 Heartbeat 运行期间抑制工具错误警告载荷。

将 Heartbeat 运行限制在一个时间窗口内。对象包含 start（HH:MM，含起点；一天开始使用 00:00）、end（HH:MM，不含终点；一天结束允许 24:00），以及可选的 timezone。

省略或为 "user"：如果已设置，则使用你的 agents.defaults.userTimezone，否则回退到主机系统时区。
"local"：始终使用主机系统时区。
任意 IANA 标识符（例如 America/New_York）：直接使用；如果无效，则回退到上面的 "user" 行为。
对于活跃窗口，start 和 end 不能相等；相等值会被视为零宽度（始终在窗口外）。
在活跃窗口之外，Heartbeat 会被跳过，直到窗口内的下一次 tick。

递送行为

- Heartbeat 默认在智能体的主会话中运行（agent:<id>:<mainKey>），当 session.scope = "global" 时则在 global 中运行。设置 session 可覆盖为特定渠道会话（Discord/WhatsApp 等）。
- session 只影响运行上下文；递送由 target 和 to 控制。
- 若要递送到特定渠道/接收方，请设置 target + to。使用 target: "last" 时，递送会使用该会话的最后一个外部渠道。
- Heartbeat 递送默认允许直接/私信目标。设置 directPolicy: "block" 可在仍然运行 Heartbeat 轮次的同时抑制直接目标发送。
- 如果主队列、目标会话通道、cron 通道或活跃的 cron 作业正忙，Heartbeat 会被跳过并稍后重试。
- 如果 skipWhenBusy: true，此智能体按会话键划分的子智能体和嵌套通道也会推迟 Heartbeat 运行。其他智能体的忙碌通道不会推迟此智能体。
- 如果 target 解析不到外部目的地，运行仍会发生，但不会发送出站消息。

- 如果 showOk、showAlerts 和 useIndicator 全部禁用，运行会在开始前以 reason=alerts-disabled 跳过。
- 如果仅禁用了提醒递送，OpenClaw 仍可以运行 Heartbeat、更新到期任务时间戳、恢复会话空闲时间戳，并抑制对外提醒载荷。
- 如果解析出的 Heartbeat 目标支持输入状态，OpenClaw 会在 Heartbeat 运行期间显示输入中。这使用 Heartbeat 原本会向其发送聊天输出的同一目标，并且会被 typingMode: "never" 禁用。

- 仅 Heartbeat 的回复不会让会话保持活跃。Heartbeat 元数据可能会更新会话行，但空闲过期使用最后一条真实用户/渠道消息的 lastInteractionAt，每日过期使用 sessionStartedAt。
- 控制 UI 和 WebChat 历史会隐藏 Heartbeat 提示词以及仅 OK 的确认。底层会话转录仍可包含这些轮次，用于审计/重放。
- 分离的后台任务可以入队一个系统事件，并在主会话应快速注意到某事时唤醒 Heartbeat。该唤醒不会让 Heartbeat 运行成为后台任务。

可见性控制

默认情况下，HEARTBEAT_OK 确认会被抑制，而提醒内容会被递送。你可以按渠道或按账号调整：

channels:
  defaults:
    heartbeat:
      showOk: false # Hide HEARTBEAT_OK (default)
      showAlerts: true # Show alert messages (default)
      useIndicator: true # Emit indicator events (default)
  telegram:
    heartbeat:
      showOk: true # Show OK acknowledgments on Telegram
  whatsapp:
    accounts:
      work:
        heartbeat:
          showAlerts: false # Suppress alert delivery for this account

优先级：按账号 → 按渠道 → 渠道默认值 → 内置默认值。

每个标志的作用

showOk：当模型返回仅 OK 的回复时，发送 HEARTBEAT_OK 确认。
showAlerts：当模型返回非 OK 回复时，发送提醒内容。
useIndicator：为 UI Status 表面发出指示器事件。

如果三者全部为 false，OpenClaw 会完全跳过 Heartbeat 运行（不会调用模型）。

按渠道与按账号示例

channels:
  defaults:
    heartbeat:
      showOk: false
      showAlerts: true
      useIndicator: true
  slack:
    heartbeat:
      showOk: true # all Slack accounts
    accounts:
      ops:
        heartbeat:
          showAlerts: false # suppress alerts for the ops account only
  telegram:
    heartbeat:
      showOk: true

常见模式

目标	配置
默认行为（静默 OK，开启提醒）	（无需配置）
完全静默（无消息、无指示器）	`channels.defaults.heartbeat: { showOk: false, showAlerts: false, useIndicator: false }`
仅指示器（无消息）	`channels.defaults.heartbeat: { showOk: false, showAlerts: false, useIndicator: true }`
仅在一个渠道中显示 OK	`channels.telegram.heartbeat: { showOk: true }`

HEARTBEAT.md（可选）

如果工作区中存在 HEARTBEAT.md 文件，默认提示词会告诉智能体读取它。可以把它看作你的 “Heartbeat 检查清单”：小巧、稳定，并且适合每 30 分钟纳入一次。

在正常运行中，只有为默认智能体启用 Heartbeat 指引时，才会注入 HEARTBEAT.md。使用 0m 禁用 Heartbeat 节奏，或设置 includeSystemPromptSection: false，会将其从正常启动上下文中省略。

如果 HEARTBEAT.md 存在但实际上为空（只有空行和类似 # Heading 的 Markdown 标题），OpenClaw 会跳过 Heartbeat 运行以节省 API 调用。该跳过会报告为 reason=empty-heartbeat-file。如果文件缺失，Heartbeat 仍会运行，并由模型决定要做什么。

保持精简（简短检查清单或提醒），以避免提示词膨胀。

HEARTBEAT.md 示例：

# Heartbeat checklist

- Quick scan: anything urgent in inboxes?
- If it's daytime, do a lightweight check-in if nothing else is pending.
- If a task is blocked, write down _what is missing_ and ask Peter next time.

`tasks:` 块

HEARTBEAT.md 还支持一个小型结构化 tasks: 块，用于 Heartbeat 内部基于间隔的检查。

示例：

tasks:

- name: inbox-triage
  interval: 30m
  prompt: "Check for urgent unread emails and flag anything time sensitive."
- name: calendar-scan
  interval: 2h
  prompt: "Check for upcoming meetings that need prep or follow-up."

# Additional instructions

- Keep alerts short.
- If nothing needs attention after all due tasks, reply HEARTBEAT_OK.

- OpenClaw 会解析 tasks: 块，并根据每个任务自己的 interval 检查它。
- 每个 tick 的 Heartbeat 提示词中只会包含已到期任务。
- 如果没有任务到期，Heartbeat 会被完全跳过（reason=no-tasks-due），以避免浪费模型调用。
- HEARTBEAT.md 中的非任务内容会被保留，并作为额外上下文追加到到期任务列表之后。
- 任务的上次运行时间戳存储在会话状态中（heartbeatTaskState），因此间隔能在正常重启后保留。
- 任务时间戳只会在 Heartbeat 运行完成其正常回复路径后推进。被跳过的 empty-heartbeat-file / no-tasks-due 运行不会将任务标记为已完成。

当你希望一个 Heartbeat 文件保存多项周期性检查，但不想每个 tick 都为所有检查付费时，任务模式很有用。

智能体可以更新 HEARTBEAT.md 吗？

可以，只要你要求它这样做。

HEARTBEAT.md 只是智能体工作区中的普通文件，因此你可以在正常聊天中告诉智能体，例如：

“更新 HEARTBEAT.md，添加每日日历检查。”
“重写 HEARTBEAT.md，让它更短，并专注于收件箱跟进。”

如果你希望它主动发生，也可以在 Heartbeat 提示词中包含一行明确指示，例如：“如果检查清单变得过时，请用更好的版本更新 HEARTBEAT.md。”

不要把秘密（API 密钥、电话号码、私有令牌）放入 HEARTBEAT.md，因为它会成为提示词上下文的一部分。

手动唤醒（按需）

你可以用以下命令入队一个系统事件并触发即时 Heartbeat：

openclaw system event --text "Check for urgent follow-ups" --mode now

如果多个智能体配置了 heartbeat，手动唤醒会立即运行每个智能体的 Heartbeat。

使用 --mode next-heartbeat 可等待下一次计划 tick。

推理递送（可选）

默认情况下，Heartbeat 只递送最终“答案”载荷。

如果你想要透明度，请启用：

agents.defaults.heartbeat.includeReasoning: true

启用后，Heartbeat 还会递送一条单独消息，前缀为 Reasoning:（形态与 /reasoning on 相同）。当智能体管理多个会话/codex，而你想知道它为什么决定 ping 你时，这会很有用，但它也可能泄露比你想要更多的内部细节。建议在群聊中保持关闭。

成本意识

Heartbeat 会运行完整的智能体轮次。更短的间隔会消耗更多 token。要降低成本：

使用 isolatedSession: true，避免发送完整对话历史（每次运行从约 100K token 降到约 2-5K）。
使用 lightContext: true，将启动文件限制为仅 HEARTBEAT.md。
设置更便宜的 model（例如 ollama/llama3.2:1b）。
保持 HEARTBEAT.md 很小。
如果你只想更新内部状态，请使用 target: "none"。

Heartbeat 后的上下文溢出

如果某次 Heartbeat 之前把现有会话留在较小的本地模型上，例如带 32k 窗口的 Ollama 模型，而下一个主会话轮次报告上下文溢出，请将会话运行时模型重置回配置的主模型。当最后一个运行时模型匹配已配置的 heartbeat.model 时，OpenClaw 的重置消息会指出这一点。

当前 Heartbeat 会在运行完成后保留共享会话的现有运行时模型。你仍可以使用 isolatedSession: true 在新会话中运行 Heartbeat，并结合 lightContext: true 获取最小提示词，或选择一个上下文窗口足以容纳共享会话的 Heartbeat 模型。

📄 Doctor

原文：https://docs.openclaw.ai/zh-CN/gateway/doctor

openclaw doctor 是 OpenClaw 的修复 + 迁移工具。它会修复过时的配置/状态，检查健康状况，并提供可操作的修复步骤。

快速开始

openclaw doctor

无头和自动化模式

bash openclaw doctor --yes

不提示，接受默认值（适用时包括重启/服务/沙箱修复步骤）。

bash openclaw doctor --repair

不提示，应用推荐修复（在安全情况下执行修复 + 重启）。

bash openclaw doctor --repair --force

同时应用激进修复（会覆盖自定义 supervisor 配置）。

bash openclaw doctor --non-interactive

不显示提示运行，并且只应用安全迁移（配置规范化 + 磁盘状态移动）。跳过需要人工确认的重启/服务/沙箱操作。检测到旧版状态迁移时会自动运行。

bash openclaw doctor --deep

扫描系统服务，查找额外的 Gateway 网关安装（launchd/systemd/schtasks）。

如果你想在写入前审查更改，请先打开配置文件：

cat ~/.openclaw/openclaw.json

它做什么（摘要）

- 对 git 安装执行可选的运行前更新（仅交互模式）。
- UI 协议新鲜度检查（当协议 schema 更新时重建 Control UI）。
- 健康检查 + 重启提示。
- Skills 状态摘要（eligible/missing/blocked）和插件状态。

- 对旧版值执行配置规范化。
- 将旧版扁平 talk.* 字段迁移到 talk.provider + talk.providers.<provider>。
- 对旧版 Chrome 扩展配置和 Chrome MCP 就绪状态执行浏览器迁移检查。
- OpenCode 提供商覆盖警告（models.providers.opencode / models.providers.opencode-go）。
- Codex OAuth 遮蔽警告（models.providers.openai-codex）。
- OpenAI Codex OAuth 配置文件的 OAuth TLS 前置条件检查。
- 当 plugins.allow 具有限制性但工具策略仍请求通配符或插件拥有的工具时，发出插件/工具 allowlist 警告。
- 旧版磁盘状态迁移（会话/agent 目录/WhatsApp 凭证）。
- 旧版插件清单合约键迁移（speechProviders, realtimeTranscriptionProviders, realtimeVoiceProviders, mediaUnderstandingProviders, imageGenerationProviders, videoGenerationProviders, webFetchProviders, webSearchProviders → contracts）。
- 旧版 cron 存储迁移（jobId, schedule.cron, 顶层 delivery/payload 字段、payload provider、简单的 notify: true webhook fallback 任务）。
- 旧版整 agent 运行时策略清理；提供商/模型运行时策略是当前有效的路由选择器。
- 插件启用时清理过时的插件配置；当 plugins.enabled=false 时，过时的插件引用会被视为惰性隔离配置并被保留。

- 会话锁文件检查和过时锁清理。
- 修复受影响的 2026.4.24 构建创建的重复 prompt-rewrite 分支的会话 transcript。
- 检测卡住的 subagent 重启恢复 tombstone，并支持通过 --fix 清除过时的 aborted recovery 标记，避免启动时持续将该 child 视为 restart-aborted。
- 状态完整性和权限检查（sessions、transcripts、state dir）。
- 本地运行时进行配置文件权限检查（chmod 600）。
- 模型凭证健康：检查 OAuth 过期时间，可刷新即将过期的 token，并报告 auth-profile cooldown/disabled 状态。
- 检测额外 workspace 目录（~/openclaw）。

- 启用沙箱隔离时修复沙箱镜像。
- 旧版服务迁移和额外 Gateway 网关检测。
- Matrix 渠道旧版状态迁移（在 --fix / --repair 模式中）。
- Gateway 网关运行时检查（服务已安装但未运行；缓存的 launchd label）。
- 渠道状态警告（从正在运行的 Gateway 网关探测）。
- 渠道特定权限检查位于 openclaw channels capabilities 下；例如，Discord 语音频道权限可通过 openclaw channels capabilities --channel discord --target channel:<channel-id> 审计。
- 针对 Gateway 网关事件循环健康状况降级但本地 TUI 客户端仍在运行的 WhatsApp 响应性检查；--fix 只会停止已验证的本地 TUI 客户端。
- 修复主模型、fallback、heartbeat/subagent/compaction 覆盖、hook、渠道模型覆盖和会话路由 pin 中的旧版 openai-codex/* 模型引用；--fix 会将它们重写为 openai/*，移除过时的会话/整 agent 运行时 pin，并将规范的 OpenAI agent 引用保留在默认 Codex harness 上。
- supervisor 配置审计（launchd/systemd/schtasks），可选择修复。
- 清理 Gateway 网关服务的嵌入式代理环境，这些服务在安装或更新期间捕获了 shell HTTP_PROXY / HTTPS_PROXY / NO_PROXY 值。
- Gateway 网关运行时最佳实践检查（Node vs Bun、version-manager 路径）。
- Gateway 网关端口冲突诊断（默认 18789）。

- 针对开放私信策略的安全警告。
- 本地 token 模式下的 Gateway 网关凭证检查（当不存在 token 来源时提供 token 生成；不会覆盖 token SecretRef 配置）。
- 设备配对问题检测（待处理的首次配对请求、待处理的角色/范围升级、过时的本地 device-token 缓存漂移，以及 paired-record 凭证漂移）。

- Linux 上的 systemd linger 检查。
- Workspace bootstrap 文件大小检查（针对上下文文件的截断/接近上限警告）。
- 默认 agent 的 Skills 就绪状态检查；报告缺少 bin、环境变量、配置或操作系统要求的已允许 Skills，并且 --fix 可以在 skills.entries 中禁用不可用的 Skills。
- shell completion 状态检查和自动安装/升级。
- 记忆搜索 embedding 提供商就绪状态检查（本地模型、远程 API key 或 QMD 二进制）。
- 源码安装检查（pnpm workspace 不匹配、缺少 UI 资产、缺少 tsx 二进制）。
- 写入更新后的配置 + 向导元数据。

Dreams UI 回填和重置

Control UI Dreams 场景包含用于 grounded dreaming 工作流的 Backfill、Reset 和 Clear Grounded 操作。这些操作使用 Gateway 网关 doctor 风格的 RPC 方法，但它们不属于 openclaw doctor CLI 修复/迁移的一部分。

它们做什么：

Backfill 扫描当前工作区中的历史 memory/YYYY-MM-DD.md 文件，运行 grounded REM diary pass，并将可逆的回填条目写入 DREAMS.md。
Reset 只会从 DREAMS.md 中移除那些带标记的回填 diary 条目。
Clear Grounded 只会移除来自历史 replay、且尚未积累 live recall 或 daily support 的已暂存 grounded-only 短期条目。

它们本身不会做什么：

它们不会编辑 MEMORY.md
它们不会运行完整的 doctor 迁移
它们不会自动将 grounded candidates 暂存到 live short-term promotion store，除非你先显式运行 staged CLI path

如果你想让 grounded historical replay 影响正常的 deep promotion lane，请改用 CLI 流程：

openclaw memory rem-backfill --path ./memory --stage-short-term

这会将 grounded durable candidates 暂存到 short-term dreaming store，同时保持 DREAMS.md 作为审查界面。

详细行为和理由

如果这是 git checkout 且 doctor 以交互方式运行，它会在运行 doctor 前提供更新（fetch/rebase/build）选项。

如果配置包含旧版值形状（例如没有渠道特定覆盖的 messages.ackReaction），doctor 会将其规范化为当前 schema。

这包括旧版 Talk 扁平字段。当前公开的 Talk 语音配置是 `talk.provider` + `talk.providers.<provider>`，realtime voice 配置是 `talk.realtime.*`。Doctor 会将旧的 `talk.voiceId` / `talk.voiceAliases` / `talk.modelId` / `talk.outputFormat` / `talk.apiKey` 形状重写到提供商映射中，并将旧版顶层 realtime 选择器（`talk.mode`, `talk.transport`, `talk.brain`, `talk.model`, `talk.voice`）重写到 `talk.realtime`。

当 `plugins.allow` 非空且工具策略使用通配符或插件拥有的工具条目时，Doctor 也会发出警告。`tools.allow: ["*"]` 只匹配实际加载的插件中的工具；它不会绕过排他的插件 allowlist。Doctor 会为迁移后的旧版 allowlist 配置写入 `plugins.bundledDiscovery: "compat"`，以保留现有的内置提供商行为，然后指向更严格的 `"allowlist"` 设置。

当配置包含已弃用键时，其他命令会拒绝运行，并要求你运行 openclaw doctor。

Doctor 会：

- 说明找到了哪些旧版键。
- 显示它应用的迁移。
- 使用更新后的 schema 重写 `~/.openclaw/openclaw.json`。

Gateway 网关启动会拒绝旧版配置格式，并要求你运行 `openclaw doctor --fix`；它不会在启动时重写 `openclaw.json`。Cron 任务存储迁移也由 `openclaw doctor --fix` 处理。

当前迁移：

- `routing.allowFrom` → `channels.whatsapp.allowFrom`
- `routing.groupChat.requireMention` → `channels.whatsapp/telegram/imessage.groups."*".requireMention`
- `routing.groupChat.historyLimit` → `messages.groupChat.historyLimit`
- `routing.groupChat.mentionPatterns` → `messages.groupChat.mentionPatterns`
- `channels.telegram.requireMention` → `channels.telegram.groups."*".requireMention`
- 缺少可见回复策略的已配置渠道配置 → `messages.groupChat.visibleReplies: "message_tool"`
- `routing.queue` → `messages.queue`
- `routing.bindings` → 顶层 `bindings`
- `routing.agents`/`routing.defaultAgentId` → `agents.list` + `agents.list[].default`
- 旧版 `talk.voiceId`/`talk.voiceAliases`/`talk.modelId`/`talk.outputFormat`/`talk.apiKey` → `talk.provider` + `talk.providers.<provider>`
- 旧版顶层实时 Talk 选择器（`talk.mode`/`talk.transport`/`talk.brain`/`talk.model`/`talk.voice`）+ `talk.provider`/`talk.providers` → `talk.realtime`
- `routing.agentToAgent` → `tools.agentToAgent`
- `routing.transcribeAudio` → `tools.media.audio.models`
- `messages.tts.<provider>`（`openai`/`elevenlabs`/`microsoft`/`edge`）→ `messages.tts.providers.<provider>`
- `messages.tts.provider: "edge"` 和 `messages.tts.providers.edge` → `messages.tts.provider: "microsoft"` 和 `messages.tts.providers.microsoft`
- `channels.discord.voice.tts.<provider>`（`openai`/`elevenlabs`/`microsoft`/`edge`）→ `channels.discord.voice.tts.providers.<provider>`
- `channels.discord.accounts.<id>.voice.tts.<provider>`（`openai`/`elevenlabs`/`microsoft`/`edge`）→ `channels.discord.accounts.<id>.voice.tts.providers.<provider>`
- `plugins.entries.voice-call.config.tts.<provider>`（`openai`/`elevenlabs`/`microsoft`/`edge`）→ `plugins.entries.voice-call.config.tts.providers.<provider>`
- `plugins.entries.voice-call.config.tts.provider: "edge"` 和 `plugins.entries.voice-call.config.tts.providers.edge` → `provider: "microsoft"` 和 `providers.microsoft`
- `plugins.entries.voice-call.config.provider: "log"` → `"mock"`
- `plugins.entries.voice-call.config.twilio.from` → `plugins.entries.voice-call.config.fromNumber`
- `plugins.entries.voice-call.config.streaming.sttProvider` → `plugins.entries.voice-call.config.streaming.provider`
- `plugins.entries.voice-call.config.streaming.openaiApiKey|sttModel|silenceDurationMs|vadThreshold` → `plugins.entries.voice-call.config.streaming.providers.openai.*`
- `bindings[].match.accountID` → `bindings[].match.accountId`
- 对于带有命名 `accounts` 但仍残留单账号顶层渠道值的渠道，将这些账号作用域值移动到该渠道所选的提升账号中（多数渠道使用 `accounts.default`；Matrix 可以保留现有匹配的命名/默认目标）
- `identity` → `agents.list[].identity`
- `agent.*` → `agents.defaults` + `tools.*`（工具/提升权限/exec/沙箱/子智能体）
- `agent.model`/`allowedModels`/`modelAliases`/`modelFallbacks`/`imageModelFallbacks` → `agents.defaults.models` + `agents.defaults.model.primary/fallbacks` + `agents.defaults.imageModel.primary/fallbacks`
- 移除 `agents.defaults.llm`；对慢速提供商/模型超时使用 `models.providers.<id>.timeoutSeconds`
- `browser.ssrfPolicy.allowPrivateNetwork` → `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork`
- `browser.profiles.*.driver: "extension"` → `"existing-session"`
- 移除 `browser.relayBindHost`（旧版扩展中继设置）
- 旧版 `models.providers.*.api: "openai"` → `"openai-completions"`（Gateway 网关启动时也会跳过 `api` 设置为未来或未知枚举值的提供商，而不是保守失败）
- 移除 `plugins.entries.codex.config.codexDynamicToolsProfile`；Codex 应用服务器始终保持 Codex 原生工作区工具为原生模式

Doctor 警告还包含多账号渠道的账号默认值指导：

- 如果配置了两个或更多 `channels.<channel>.accounts` 条目，但没有配置 `channels.<channel>.defaultAccount` 或 `accounts.default`，Doctor 会警告回退路由可能选择意外账号。
- 如果 `channels.<channel>.defaultAccount` 设置为未知账号 ID，Doctor 会警告并列出已配置的账号 ID。

如果你手动添加了 models.providers.opencode、opencode-zen 或 opencode-go，它会覆盖来自 @earendil-works/pi-ai 的内置 OpenCode 目录。这可能会迫使模型使用错误 API，或将成本清零。Doctor 会发出警告，以便你移除该覆盖并恢复按模型的 API 路由和成本。

如果你的浏览器配置仍指向已移除的 Chrome 扩展路径，Doctor 会将其规范化为当前主机本地 Chrome MCP 挂接模型：

- `browser.profiles.*.driver: "extension"` 变为 `"existing-session"`
- `browser.relayBindHost` 会被移除

当你使用 `defaultProfile: "user"` 或已配置的 `existing-session` 配置文件时，Doctor 还会审计主机本地 Chrome MCP 路径：

- 检查默认自动连接配置文件所用的同一主机上是否安装了 Google Chrome
- 检查检测到的 Chrome 版本，并在低于 Chrome 144 时发出警告
- 提醒你在浏览器检查页面中启用远程调试（例如 `chrome://inspect/#remote-debugging`、`brave://inspect/#remote-debugging` 或 `edge://inspect/#remote-debugging`）

Doctor 无法替你启用 Chrome 端设置。主机本地 Chrome MCP 仍然需要：

- Gateway 网关/节点主机上有基于 Chromium 的浏览器 144+
- 浏览器在本地运行
- 在该浏览器中启用远程调试
- 在浏览器中批准首次挂接同意提示

这里的就绪状态只涉及本地挂接前置条件。Existing-session 保持当前 Chrome MCP 路由限制；`responsebody`、PDF 导出、下载拦截和批量操作等高级路由仍然需要托管浏览器或原始 CDP 配置文件。

此检查**不**适用于 Docker、沙箱、remote-browser 或其他无头流程。它们会继续使用原始 CDP。

配置 OpenAI Codex OAuth 配置文件后，Doctor 会探测 OpenAI 授权端点，验证本地 Node/OpenSSL TLS 栈能否校验证书链。如果探测因证书错误失败（例如 UNABLE_TO_GET_ISSUER_CERT_LOCALLY、证书过期或自签名证书），Doctor 会打印平台特定的修复指导。在使用 Homebrew Node 的 macOS 上，修复通常是 brew postinstall ca-certificates。使用 --deep 时，即使 Gateway 网关健康，也会运行该探测。

如果你之前在 models.providers.openai-codex 下添加了旧版 OpenAI 传输设置，它们可能会遮蔽新版会自动使用的内置 Codex OAuth 提供商路径。Doctor 在看到这些旧传输设置与 Codex OAuth 同时存在时会发出警告，以便你移除或重写过期的传输覆盖，并恢复内置路由/回退行为。自定义代理和仅标头覆盖仍受支持，且不会触发此警告。

Doctor 会检查旧版 openai-codex/* 模型引用。Native Codex plugins 路由使用规范的 openai/* 模型引用；OpenAI agent 轮次会通过 Codex 应用服务器 harness，而不是 OpenClaw PI OpenAI 路径。

在 `--fix` / `--repair` 模式下，Doctor 会重写受影响的默认 agent 和按 agent 配置的引用，包括主模型、回退模型、Heartbeat/子智能体/压缩覆盖、钩子、渠道模型覆盖，以及过期的已持久化会话路由状态：

- `openai-codex/gpt-*` 变为 `openai/gpt-*`。
- Codex 意图会迁移到按提供商/模型作用域的 `agentRuntime.id: "codex"` 条目，用于已修复的 agent 模型引用，这样模型引用变为 `openai/*` 后仍可选择 `openai-codex:...` 认证配置文件。
- 过期的整 agent 运行时配置和已持久化会话运行时固定项会被移除，因为运行时选择按提供商/模型作用域生效。
- 除非修复后的旧版模型引用需要 Codex 路由来保留旧认证路径，否则现有提供商/模型运行时策略会保留。
- 现有模型回退列表会保留，并重写其中的旧版条目；复制的按模型设置会从旧版键移动到规范 `openai/*` 键。
- 会在所有发现的 agent 会话存储中修复已持久化会话的 `modelProvider`/`providerOverride`、`model`/`modelOverride`、回退通知和认证配置文件固定项。
- `/codex ...` 表示“从聊天中控制或绑定原生 Codex 对话”。
- `/acp ...` 或 `runtime: "acp"` 表示“使用外部 ACP/acpx 适配器”。

在你将已配置模型或运行时从 Codex 等插件拥有的路由移走后，Doctor 还会扫描发现的 agent 会话存储，查找过期的自动创建路由状态。

`openclaw doctor --fix` 可以清理自动创建的过期状态，例如 `modelOverrideSource: "auto"` 模型固定项、运行时模型元数据、固定的 harness ID、CLI 会话绑定，以及当其所属路由不再配置时的自动认证配置文件覆盖。显式用户或旧版会话模型选择会报告给你手动审查并保持不变；当不再需要该路由时，使用 `/model ...`、`/new` 切换它们，或重置会话。

Doctor 可以将较旧的磁盘布局迁移到当前结构：

- 会话存储 + 转录记录：
  - 从 `~/.openclaw/sessions/` 到 `~/.openclaw/agents/<agentId>/sessions/`
- Agent 目录：
  - 从 `~/.openclaw/agent/` 到 `~/.openclaw/agents/<agentId>/agent/`
- WhatsApp 认证状态（Baileys）：
  - 从旧版 `~/.openclaw/credentials/*.json`（`oauth.json` 除外）
  - 到 `~/.openclaw/credentials/whatsapp/<accountId>/...`（默认账号 ID：`default`）

这些迁移会尽力执行且可幂等重复；当 Doctor 将任何旧版文件夹作为备份留下时，会发出警告。Gateway 网关/CLI 也会在启动时自动迁移旧版会话 + agent 目录，使历史记录/认证/模型落入按 agent 路径中，而无需手动运行 Doctor。WhatsApp 认证有意仅通过 `openclaw doctor` 迁移。Talk 提供商/提供商映射规范化现在按结构相等性比较，因此仅键顺序不同的差异不再触发重复的空操作 `doctor --fix` 更改。

Doctor 会扫描所有已安装插件清单，查找已弃用的顶层能力键（speechProviders、realtimeTranscriptionProviders、realtimeVoiceProviders、mediaUnderstandingProviders、imageGenerationProviders、videoGenerationProviders、webFetchProviders、webSearchProviders）。找到后，它会提供将其移动到 contracts 对象并就地重写清单文件的操作。此迁移是幂等的；如果 contracts 键已有相同值，则会移除旧版键而不复制数据。

Doctor 还会检查 cron 作业存储（默认是 ~/.openclaw/cron/jobs.json，或覆盖时使用 cron.store），查找调度器仍为兼容性接受的旧作业形态。

当前 cron 清理包括：

- `jobId` → `id`
- `schedule.cron` → `schedule.expr`
- 顶层有效载荷字段（`message`、`model`、`thinking`，...）→ `payload`
- 顶层交付字段（`deliver`、`channel`、`to`、`provider`，...）→ `delivery`
- 有效载荷 `provider` 交付别名 → 显式 `delivery.channel`
- 简单旧版 `notify: true` 网络钩子回退任务 → 显式 `delivery.mode="webhook"`，并设置 `delivery.to=cron.webhook`

Doctor 只会在不改变行为的情况下自动迁移 `notify: true` 任务。如果某个任务把旧版通知回退与现有的非网络钩子交付模式组合使用，Doctor 会发出警告，并将该任务留待手动审查。

在 Linux 上，当用户的 crontab 仍调用旧版 `~/.openclaw/bin/ensure-whatsapp.sh` 时，Doctor 也会发出警告。当前 OpenClaw 不维护这个主机本地脚本；当 cron 无法访问 systemd 用户总线时，它可能会向 `~/.openclaw/logs/whatsapp-health.log` 写入错误的 `Gateway inactive` 消息。使用 `crontab -e` 移除过时的 crontab 条目；使用 `openclaw channels status --probe`、`openclaw doctor` 和 `openclaw gateway status` 执行当前健康检查。

Doctor 会扫描每个智能体会话目录，查找过时的写入锁文件，也就是会话异常退出后留下的文件。对于找到的每个锁文件，它会报告：路径、PID、PID 是否仍然存活、锁的存在时长，以及是否被视为过时（PID 已死亡、超过 30 分钟，或可证明存活的 PID 属于非 OpenClaw 进程）。在 --fix / --repair 模式下，它会自动移除过时的锁文件；否则会打印提示，并指示你使用 --fix 重新运行。

Doctor 会扫描智能体会话 JSONL 文件，查找由 2026.4.24 提示词转录重写缺陷创建的重复分支形态：一个带有 OpenClaw 内部运行时上下文的废弃用户轮次，以及一个包含相同可见用户提示词的活动同级分支。在 --fix / --repair 模式下，Doctor 会在原文件旁备份每个受影响的文件，并将转录重写为活动分支，使 Gateway 网关历史记录和记忆读取器不再看到重复轮次。

状态目录是运行层面的脑干。如果它消失，你会丢失会话、凭证、日志和配置（除非你在其他位置有备份）。

Doctor 会检查：

- **状态目录缺失**：警告灾难性状态丢失，提示重新创建目录，并提醒你它无法恢复缺失的数据。
- **状态目录权限**：验证可写性；提供修复权限的选项（并在检测到所有者/组不匹配时发出 `chown` 提示）。
- **macOS 云同步状态目录**：当状态解析到 iCloud Drive（`~/Library/Mobile Documents/com~apple~CloudDocs/...`）或 `~/Library/CloudStorage/...` 下时发出警告，因为由同步支持的路径可能导致 I/O 变慢以及锁/同步竞态。
- **Linux SD 或 eMMC 状态目录**：当状态解析到 `mmcblk*` 挂载源时发出警告，因为 SD 或 eMMC 支持的随机 I/O 在会话和凭证写入下可能更慢且磨损更快。
- **会话目录缺失**：`sessions/` 和会话存储目录是持久化历史记录并避免 `ENOENT` 崩溃所必需的。
- **转录不匹配**：当最近的会话条目缺少转录文件时发出警告。
- **主会话“1 行 JSONL”**：当主转录只有一行时标记（历史记录没有累积）。
- **多个状态目录**：当多个 home 目录中存在多个 `~/.openclaw` 文件夹，或 `OPENCLAW_STATE_DIR` 指向其他位置时发出警告（历史记录可能在安装之间分裂）。
- **远程模式提醒**：如果 `gateway.mode=remote`，Doctor 会提醒你在远程主机上运行它（状态位于那里）。
- **配置文件权限**：如果 `~/.openclaw/openclaw.json` 可被组/全局读取，则发出警告，并提供收紧到 `600` 的选项。

Doctor 会检查凭证存储中的 OAuth 配置文件，在令牌即将过期/已过期时发出警告，并在安全时刷新它们。如果 Anthropic OAuth/令牌配置文件过时，它会建议使用 Anthropic API key 或 Anthropic 设置令牌路径。刷新提示只会在交互式运行（TTY）时出现；--non-interactive 会跳过刷新尝试。

当 OAuth 刷新永久失败时（例如 `refresh_token_reused`、`invalid_grant`，或提供商要求你重新登录），Doctor 会报告需要重新认证，并打印要运行的准确 `openclaw models auth login --provider ...` 命令。

Doctor 还会报告由于以下原因而暂时不可用的凭证配置文件：

- 短暂冷却（速率限制/超时/认证失败）
- 更长时间停用（计费/额度失败）

如果设置了 hooks.gmail.model，Doctor 会根据目录和允许列表验证模型引用，并在无法解析或不被允许时发出警告。

启用沙箱隔离时，Doctor 会检查 Docker 镜像，并在当前镜像缺失时提供构建或切换到旧版名称的选项。

Doctor 会在 openclaw doctor --fix / openclaw doctor --repair 模式下移除旧版 OpenClaw 生成的插件依赖暂存状态。这包括过时的生成依赖根、旧安装阶段目录、早期内置插件依赖修复代码留下的包本地残留，以及可能遮蔽当前内置清单的孤立或已恢复的内置 @openclaw/* 插件托管 npm 副本。Doctor 还会把主机 openclaw 包重新链接到声明了 peerDependencies.openclaw 的托管 npm 插件中，使 openclaw/plugin-sdk/* 等包本地运行时导入在更新或 npm 修复后继续解析。

当配置引用了可下载插件但本地插件注册表找不到它们时，Doctor 也可以重新安装缺失的可下载插件。示例包括实质性的 `plugins.entries`、已配置的渠道/提供商/搜索设置，以及已配置的 Agent Runtimes。在包更新期间，Doctor 会避免在核心包正在替换时运行包管理器插件修复；如果配置的插件仍需要恢复，请在更新后再次运行 `openclaw doctor --fix`。Gateway 网关启动和配置重新加载不会运行包管理器；插件安装仍然是显式的 Doctor/安装/更新工作。

Doctor 会检测旧版 Gateway 网关服务（launchd/systemd/schtasks），并提供移除它们并使用当前 Gateway 网关端口安装 OpenClaw 服务的选项。它也可以扫描额外的类似 Gateway 网关的服务，并打印清理提示。带配置文件名称的 OpenClaw Gateway 网关服务被视为一等服务，不会被标记为“额外”。

在 Linux 上，如果用户级 Gateway 网关服务缺失，但存在系统级 OpenClaw Gateway 网关服务，Doctor 不会自动安装第二个用户级服务。使用 `openclaw gateway status --deep` 或 `openclaw doctor --deep` 检查，然后移除重复项，或在系统级监督器拥有 Gateway 网关生命周期时设置 `OPENCLAW_SERVICE_REPAIR_POLICY=external`。

当 Matrix 渠道账号存在待处理或可执行的旧版状态迁移时，Doctor（在 --fix / --repair 模式下）会创建迁移前快照，然后运行尽力而为的迁移步骤：旧版 Matrix 状态迁移和旧版加密状态准备。这两个步骤都是非致命的；错误会被记录，启动会继续。在只读模式（不带 --fix 的 openclaw doctor）下，此检查会被完全跳过。

Doctor 现在会在常规健康检查中检查设备配对状态。

它会报告：

- 待处理的首次配对请求
- 已配对设备的待处理角色升级
- 已配对设备的待处理作用域升级
- 公钥不匹配修复，其中设备 ID 仍然匹配，但设备身份不再匹配已批准记录
- 缺少已批准角色活动令牌的配对记录
- 作用域偏离已批准配对基线的配对令牌
- 当前机器的本地缓存设备令牌条目，其早于 Gateway 网关侧令牌轮换或携带过时的作用域元数据

Doctor 不会自动批准配对请求，也不会自动轮换设备令牌。它会改为打印准确的后续步骤：

- 使用 `openclaw devices list` 检查待处理请求
- 使用 `openclaw devices approve <requestId>` 批准准确请求
- 使用 `openclaw devices rotate --device <deviceId> --role <role>` 轮换新令牌
- 使用 `openclaw devices remove <deviceId>` 移除并重新批准过时记录

这弥补了常见的“已经配对但仍提示需要配对”缺口：Doctor 现在会区分首次配对、待处理的角色/作用域升级，以及过时令牌/设备身份漂移。

当提供商在没有允许列表的情况下向私信开放，或某项策略以危险方式配置时，Doctor 会发出警告。

如果作为 systemd 用户服务运行，Doctor 会确保已启用 linger，使 Gateway 网关在登出后仍保持运行。

Doctor 会为默认智能体打印工作区状态摘要：

- **Skills 状态**：统计符合条件、缺少要求以及被允许列表阻止的 Skills。
- **旧版工作区目录**：当 `~/openclaw` 或其他旧版工作区目录与当前工作区并存时发出警告。
- **插件状态**：统计已启用/已禁用/出错的插件；列出任何错误的插件 ID；报告内置插件能力。
- **插件兼容性警告**：标记与当前运行时存在兼容性问题的插件。
- **插件诊断**：展示插件注册表在加载时发出的任何警告或错误。

Doctor 会检查工作区引导文件（例如 AGENTS.md、CLAUDE.md 或其他注入的上下文文件）是否接近或超过已配置的字符预算。它会按文件报告原始字符数与注入后字符数、截断百分比、截断原因（max/file 或 max/total），以及总注入字符数占总预算的比例。当文件被截断或接近限制时，Doctor 会打印用于调优 agents.defaults.bootstrapMaxChars 和 agents.defaults.bootstrapTotalMaxChars 的提示。

当 openclaw doctor --fix 移除缺失的渠道插件时，它也会移除引用该插件的悬空渠道范围配置：channels.<id> 条目、命名该渠道的 Heartbeat 目标，以及 agents.*.models["<channel>/*"] 覆盖项。这可以防止渠道运行时已不存在但配置仍要求 Gateway 网关绑定到它而导致的 Gateway 网关启动循环。

Doctor 会检查当前 shell（zsh、bash、fish 或 PowerShell）是否已安装 Tab 补全：

- 如果 shell 配置文件使用较慢的动态补全模式（`source <(openclaw completion ...)`），Doctor 会将其升级为更快的缓存文件变体。
- 如果补全已在配置文件中配置但缓存文件缺失，Doctor 会自动重新生成缓存。
- 如果完全没有配置补全，Doctor 会提示安装它（仅交互模式；使用 `--non-interactive` 时跳过）。

运行 `openclaw completion --write-state` 可手动重新生成缓存。

Doctor 检查本地 Gateway 网关令牌认证就绪状态。

- 如果令牌模式需要令牌且不存在令牌来源，Doctor 会提示生成一个。
- 如果 `gateway.auth.token` 由 SecretRef 管理但不可用，Doctor 会发出警告，且不会用明文覆盖它。
- `openclaw doctor --generate-gateway-token` 仅在未配置令牌 SecretRef 时强制生成。

某些修复流程需要检查已配置的凭据，同时不削弱运行时快速失败行为。

- `openclaw doctor --fix` 现在使用与状态类命令相同的只读 SecretRef 摘要模型，用于有针对性的配置修复。
- 示例：Telegram `allowFrom` / `groupAllowFrom` `@username` 修复会在可用时尝试使用已配置的 bot 凭据。
- 如果 Telegram bot 令牌通过 SecretRef 配置，但在当前命令路径中不可用，Doctor 会报告该凭据已配置但不可用，并跳过自动解析，而不是崩溃或误报令牌缺失。

Doctor 运行健康检查，并在 Gateway 网关看起来不健康时提示重启。

Doctor 检查已配置的记忆搜索嵌入提供商是否已为默认智能体就绪。行为取决于已配置的后端和提供商：

- **QMD 后端**：探测 `qmd` 二进制文件是否可用且可启动。如果不可用，会打印修复指南，包括 npm 包和手动二进制路径选项。
- **显式本地提供商**：检查本地模型文件或可识别的远程/可下载模型 URL。如果缺失，建议切换到远程提供商。
- **显式远程提供商**（`openai`、`voyage` 等）：验证环境或认证存储中是否存在 API key。如果缺失，打印可执行的修复提示。
- **自动提供商**：先检查本地模型可用性，然后按自动选择顺序尝试每个远程提供商。

当存在缓存的 Gateway 网关探测结果（检查时 Gateway 网关健康）时，Doctor 会将其结果与 CLI 可见配置交叉比对，并标注任何差异。Doctor 不会在默认路径上启动新的嵌入 ping；如果你想进行实时提供商检查，请使用深度记忆状态命令。

使用 `openclaw memory status --deep` 可在运行时验证嵌入就绪状态。

如果 Gateway 网关健康，Doctor 会运行渠道状态探测，并报告警告和建议修复。

Doctor 检查已安装的 supervisor 配置（launchd/systemd/schtasks）是否缺少默认值或默认值过时（例如 systemd network-online 依赖和重启延迟）。发现不匹配时，它会建议更新，并可将 service 文件/任务重写为当前默认值。

注意：

- `openclaw doctor` 会在重写 supervisor 配置前提示。
- `openclaw doctor --yes` 接受默认修复提示。
- `openclaw doctor --repair` 无提示应用建议修复。
- `openclaw doctor --repair --force` 覆盖自定义 supervisor 配置。
- `OPENCLAW_SERVICE_REPAIR_POLICY=external` 让 Doctor 对 Gateway 网关 service 生命周期保持只读。它仍会报告 service 健康状态并运行非 service 修复，但会跳过 service 安装/启动/重启/bootstrap、supervisor 配置重写以及旧版 service 清理，因为该生命周期由外部 supervisor 拥有。
- 在 Linux 上，当匹配的 systemd Gateway 网关 unit 处于活动状态时，Doctor 不会重写命令/入口点元数据。它还会在重复 service 扫描期间忽略非活动的非旧版额外 Gateway 网关类 unit，因此配套 service 文件不会产生清理噪音。
- 如果令牌认证需要令牌且 `gateway.auth.token` 由 SecretRef 管理，Doctor service 安装/修复会验证 SecretRef，但不会将解析出的明文令牌值持久化到 supervisor service 环境元数据中。
- Doctor 会检测旧版 LaunchAgent、systemd 或 Windows Scheduled Task 安装中以内联方式嵌入的托管 `.env`/SecretRef 后端 service 环境值，并重写 service 元数据，使这些值从运行时来源加载，而不是从 supervisor 定义加载。
- Doctor 会检测 service 命令是否在 `gateway.port` 变更后仍固定旧的 `--port`，并将 service 元数据重写为当前端口。
- 如果令牌认证需要令牌且已配置的令牌 SecretRef 未解析，Doctor 会阻止安装/修复路径，并提供可执行指南。
- 如果同时配置了 `gateway.auth.token` 和 `gateway.auth.password`，且未设置 `gateway.auth.mode`，Doctor 会阻止安装/修复，直到显式设置模式。
- 对于 Linux user-systemd unit，Doctor 令牌漂移检查现在在比较 service 认证元数据时同时包含 `Environment=` 和 `EnvironmentFile=` 来源。
- 当配置最后由较新版本写入时，Doctor service 修复会拒绝使用较旧的 OpenClaw 二进制文件重写、停止或重启 Gateway 网关 service。参见 [Gateway 网关故障排除](/zh-CN/gateway/troubleshooting#split-brain-installs-and-newer-config-guard)。
- 你始终可以通过 `openclaw gateway install --force` 强制完整重写。

Doctor 检查 service 运行时（PID、上次退出状态），并在 service 已安装但未实际运行时发出警告。它还会检查 Gateway 网关端口（默认 18789）上的端口冲突，并报告可能原因（Gateway 网关已在运行、SSH 隧道）。

当 Gateway 网关 service 在 Bun 或版本管理的 Node 路径（nvm、fnm、volta、asdf 等）上运行时，Doctor 会发出警告。WhatsApp + Telegram 渠道需要 Node，而版本管理器路径在升级后可能失效，因为 service 不会加载你的 shell init。Doctor 会在系统 Node 安装可用时提示迁移（Homebrew/apt/choco）。

新安装或修复的 macOS LaunchAgent 使用规范的系统 PATH（`/opt/homebrew/bin:/opt/homebrew/sbin:/usr/local/bin:/usr/bin:/bin:/usr/sbin:/sbin`），而不是复制交互式 shell PATH，因此 Homebrew 管理的系统二进制文件仍然可用，同时 Volta、asdf、fnm、pnpm 和其他版本管理器目录不会改变 Node 子进程的解析结果。Linux service 仍会保留显式环境根（`NVM_DIR`、`FNM_DIR`、`VOLTA_HOME`、`ASDF_DATA_DIR`、`BUN_INSTALL`、`PNPM_HOME`）和稳定的用户 bin 目录，但猜测的版本管理器回退目录只有在磁盘上存在时才会写入 service PATH。

Doctor 会持久化任何配置更改，并标记向导元数据以记录本次 Doctor 运行。

当缺少工作区记忆系统时，Doctor 会建议添加；如果工作区尚未置于 git 下，则打印备份提示。

有关工作区结构和 git 备份（推荐私有 GitHub 或 GitLab）的完整指南，请参见 [/concepts/agent-workspace](/zh-CN/concepts/agent-workspace)。

📄 Gateway 网关日志记录

原文：https://docs.openclaw.ai/zh-CN/gateway/logging

日志

有关面向用户的概览（CLI + Control UI + 配置），请参见 /logging。

OpenClaw 有两个日志“表面”：

控制台输出（你在终端 / Debug UI 中看到的内容）。
文件日志（JSON lines），由 Gateway 网关日志记录器写入。

启动时，Gateway 网关会记录解析后的默认 agent 模型，以及会影响新会话的模式默认值，例如：

agent model: openai-codex/gpt-5.5 (thinking=medium, fast=on)

thinking 来自默认 agent、模型参数或全局 agent 默认值；未设置时，启动摘要会显示 medium。fast 来自默认 agent 或模型 fastMode 参数。

基于文件的日志记录器

默认滚动日志文件位于 /tmp/openclaw/ 下（每天一个文件）：openclaw-YYYY-MM-DD.log
日期使用 Gateway 网关主机的本地时区。
活跃日志文件会在达到 logging.maxFileBytes（默认：100 MB）时轮转，最多保留五个编号归档，并继续写入新的活跃文件。
日志文件路径和级别可通过 ~/.openclaw/openclaw.json 配置：
logging.file
logging.level

文件格式为每行一个 JSON 对象。

Talk、实时语音和托管房间代码路径会使用共享文件日志记录器写入有界生命周期记录。这些记录用于运维调试和 OTLP 日志导出；转录文本、音频载荷、轮次 ID、通话 ID 和提供商条目 ID 不会复制到日志记录中。

Control UI 的日志标签页会通过 Gateway 网关跟踪此文件（logs.tail）。CLI 也可以执行相同操作：

openclaw logs --follow

详细输出与日志级别

文件日志完全由 logging.level 控制。
--verbose 只影响控制台详细程度（以及 WS 日志样式）；它不会提高文件日志级别。
要在文件日志中捕获仅详细模式才有的细节，请将 logging.level 设为 debug 或 trace。
Trace 日志还包含所选热点路径的诊断计时摘要，例如插件工具工厂准备。参见 /tools/plugin#slow-plugin-tool-setup。

控制台捕获

CLI 会捕获 console.log/info/warn/error/debug/trace 并将其写入文件日志，同时仍然打印到 stdout/stderr。

你可以通过以下配置独立调整控制台详细程度：

logging.consoleLevel（默认 info）
logging.consoleStyle（pretty | compact | json）

脱敏

OpenClaw 可以在日志或转录输出离开进程之前遮蔽敏感令牌。此日志脱敏策略会应用到控制台、文件日志、OTLP 日志记录和会话转录文本输出端，因此匹配的密钥值会在 JSONL 行或消息写入磁盘前被遮蔽。

logging.redactSensitive：off | tools（默认：tools）
logging.redactPatterns：正则字符串数组（覆盖默认值）
使用原始正则字符串（自动 gi），如果需要自定义标志，则使用 /pattern/flags。
匹配项会通过保留前 6 个 + 后 4 个字符（长度 >= 18）来遮蔽，否则使用 ***。
默认值覆盖常见密钥赋值、CLI 标志、JSON 字段、bearer 标头、PEM 块、常见令牌前缀，以及银行卡号、CVC/CVV、共享支付令牌和支付凭证等支付凭证字段名称。

某些安全边界始终会脱敏，不受 logging.redactSensitive 影响。这包括 Control UI 工具调用事件、sessions_history 工具输出、诊断支持导出、提供商错误观测、exec 审批命令显示，以及 Gateway 网关 WebSocket 协议日志。这些表面仍可使用 logging.redactPatterns 作为附加模式，但 redactSensitive: "off" 不会让它们输出原始密钥。

Gateway 网关 WebSocket 日志

Gateway 网关以两种模式打印 WebSocket 协议日志：

正常模式（无 --verbose）：只打印“有意义的”RPC 结果：
错误（ok=false）
慢调用（默认阈值：>= 50ms）
解析错误
详细模式（--verbose）：打印所有 WS 请求/响应流量。

WS 日志样式

openclaw gateway 支持按 Gateway 网关设置样式开关：

--ws-log auto（默认）：正常模式经过优化；详细模式使用紧凑输出
--ws-log compact：详细模式下使用紧凑输出（成对的请求/响应）
--ws-log full：详细模式下使用完整逐帧输出
--compact：--ws-log compact 的别名

示例：

# optimized (only errors/slow)
openclaw gateway

# show all WS traffic (paired)
openclaw gateway --verbose --ws-log compact

# show all WS traffic (full meta)
openclaw gateway --verbose --ws-log full

控制台格式化（子系统日志）

控制台格式化器感知 TTY，并打印一致的、带前缀的行。子系统日志记录器会让输出保持分组清晰、便于浏览。

行为：

每行都有子系统前缀（例如 [gateway]、[canvas]、[tailscale]）
子系统颜色（每个子系统稳定）加上级别着色
当输出是 TTY 或环境看起来像富终端时启用颜色（TERM/COLORTERM/TERM_PROGRAM），并遵循 NO_COLOR
缩短的子系统前缀：去掉开头的 gateway/ + channels/，保留最后 2 个段（例如 whatsapp/outbound）
按子系统划分的子日志记录器（自动前缀 + 结构化字段 { subsystem }）
用于二维码/用户体验输出的 logRaw()（无前缀、无格式化）
控制台样式（例如 pretty | compact | json）
控制台日志级别与文件日志级别分离（当 logging.level 设为 debug/trace 时，文件保留完整细节）
WhatsApp 消息正文会以 debug 级别记录（使用 --verbose 查看）

这会保持现有文件日志稳定，同时让交互式输出便于浏览。

📄 Gateway 网关锁

原文：https://docs.openclaw.ai/zh-CN/gateway/gateway-lock

为什么

确保同一主机上每个基础端口只运行一个 Gateway 网关实例；额外的 Gateway 网关必须使用隔离的配置文件和唯一端口。
在崩溃/SIGKILL 后也不会留下陈旧的锁文件。
当控制端口已被占用时，快速失败并给出清晰错误。

机制

Gateway 网关首先在状态锁目录下获取每配置锁文件，并探测已配置端口是否已有监听器。
如果记录的锁拥有者已消失、端口空闲，或锁已陈旧，启动过程会回收锁并继续。
随后 Gateway 网关使用独占 TCP 监听器绑定 HTTP/WebSocket 监听器（默认 ws://127.0.0.1:18789）。
如果绑定失败并返回 EADDRINUSE，启动会抛出 GatewayLockError("another gateway instance is already listening on ws://127.0.0.1:<port>")。
关闭时，Gateway 网关会关闭 HTTP/WebSocket 服务器并移除锁文件。

错误表面

如果另一个进程占用了该端口，启动会抛出 GatewayLockError("another gateway instance is already listening on ws://127.0.0.1:<port>")。
其他绑定失败会以 GatewayLockError("failed to bind gateway socket on ws://127.0.0.1:<port>: …") 呈现。

运维说明

如果端口被_另一个_进程占用，错误相同；释放该端口，或使用 openclaw gateway --port <port> 选择另一个端口。
在服务监督器下，新的 Gateway 网关进程如果看到现有健康的 /healthz 响应方，会让该进程继续控制。在 systemd 上，重复启动器会以代码 78 退出，因此默认的 RestartPreventExitStatus=78 会阻止 Restart=always 因锁或 EADDRINUSE 冲突而循环。如果现有进程始终无法变为健康状态，重试会受限，启动会以清晰的锁错误失败，而不是无限循环。
macOS 应用在生成 Gateway 网关前仍会维护自己的轻量级 PID 防护；运行时锁由锁文件加 HTTP/WebSocket 绑定强制执行。

📄 后台 exec 和进程工具

原文：https://docs.openclaw.ai/zh-CN/gateway/background-process

OpenClaw 通过 exec 工具运行 shell 命令，并在内存中保留长时间运行的任务。process 工具管理这些后台会话。

exec 工具

关键参数：

command（必填）
yieldMs（默认 10000）：超过此延迟后自动转入后台
background（bool）：立即转入后台
timeout（秒，默认 tools.exec.timeoutSec）：在此超时后终止进程；仅在需要为该调用禁用 exec 进程超时时，设置 timeout: 0
elevated（bool）：如果 elevated 模式已启用/允许，则在沙箱外运行（默认是 gateway，当 exec 目标为 node 时则为 node）
需要真实 TTY？设置 pty: true。
workdir、env

行为：

前台运行会直接返回输出。
转入后台时（显式指定或超时），工具会返回 status: "running" + sessionId 以及简短尾部输出。
后台运行和 yieldMs 运行会继承 tools.exec.timeoutSec，除非该调用提供了显式 timeout。
输出会保存在内存中，直到会话被轮询或清除。
如果不允许使用 process 工具，exec 会同步运行，并忽略 yieldMs/background。
派生的 exec 命令会收到 OPENCLAW_SHELL=exec，用于上下文感知的 shell/profile 规则。
对于现在启动的长时间运行工作，只启动一次，并在自动完成唤醒可用且命令产生输出或失败时依赖它。
如果自动完成唤醒不可用，或者你需要确认某个无输出但已干净退出的命令的静默成功状态，请使用 process 确认完成。
不要用 sleep 循环或重复轮询来模拟提醒或延迟跟进；未来工作请使用 cron。

子进程桥接

在 exec/process 工具之外派生长时间运行的子进程时（例如 CLI 重新派生或 Gateway 网关辅助进程），请挂接子进程桥接辅助工具，以便转发终止信号，并在退出/错误时分离监听器。这可以避免 systemd 上出现孤立进程，并保持跨平台关闭行为一致。

环境覆盖项：

PI_BASH_YIELD_MS：默认 yield（毫秒）
PI_BASH_MAX_OUTPUT_CHARS：内存内输出上限（字符）
OPENCLAW_BASH_PENDING_MAX_OUTPUT_CHARS：每个流的待处理 stdout/stderr 上限（字符）
PI_BASH_JOB_TTL_MS：已完成会话的 TTL（毫秒，限制在 1m–3h）
OPENCLAW_PROCESS_INPUT_WAIT_IDLE_MS：可写后台会话被标记为可能正在等待输入之前的空闲输出阈值（默认 15000 毫秒）

配置（首选）：

tools.exec.backgroundMs（默认 10000）
tools.exec.timeoutSec（默认 1800）
tools.exec.cleanupMs（默认 1800000）
tools.exec.notifyOnExit（默认 true）：当后台 exec 退出时，将系统事件加入队列 + 请求 Heartbeat。
tools.exec.notifyOnExitEmptySuccess（默认 false）：为 true 时，也会为未产生输出的成功后台运行加入完成事件队列。

process 工具

操作：

list：正在运行 + 已完成的会话
poll：排空会话的新输出（也会报告退出状态）
log：读取聚合输出并显示输入恢复提示（支持 offset + limit）
write：发送 stdin（data，可选 eof）
send-keys：向 PTY 支持的会话发送显式按键 token 或字节
submit：向 PTY 支持的会话发送 Enter / 回车
paste：发送字面文本，可选包裹在 bracketed paste 模式中
kill：终止后台会话
clear：从内存中移除已完成会话
remove：如果正在运行则终止，否则如果已完成则清除

注意事项：

只有后台会话会列出/持久保存在内存中。
进程重启后会话会丢失（没有磁盘持久化）。
会话日志只有在你运行 process poll/log 且工具结果被记录时，才会保存到聊天历史。
process 按智能体划分作用域；它只能看到由该智能体启动的会话。
使用 poll / log 查看状态、日志、静默成功确认，或在自动完成唤醒不可用时确认完成。
在恢复交互式 CLI 之前使用 log，这样当前转录、stdin 状态和输入等待提示会一起可见。
当你需要输入或干预时，使用 write / send-keys / submit / paste / kill。
process list 包含派生的 name（命令动词 + 目标），便于快速浏览。
process list、poll 和 log 仅在会话仍有可写 stdin 且空闲时间超过输入等待阈值时报告 waitingForInput。
process log 使用基于行的 offset/limit。
当 offset 和 limit 都省略时，它会返回最后 200 行并包含分页提示。
当提供 offset 且省略 limit 时，它会从 offset 返回到结尾（不限制为 200 行）。
轮询用于按需查看状态，而不是等待循环调度。如果工作应在之后发生，请改用 cron。

示例

运行长任务并稍后轮询：

{ "tool": "exec", "command": "sleep 5 && echo done", "yieldMs": 1000 }

{ "tool": "process", "action": "poll", "sessionId": "<id>" }

在发送输入前检查交互式会话：

{ "tool": "process", "action": "log", "sessionId": "<id>" }

立即在后台启动：

{ "tool": "exec", "command": "npm run build", "background": true }

发送 stdin：

{ "tool": "process", "action": "write", "sessionId": "<id>", "data": "y\n" }

发送 PTY 按键：

{ "tool": "process", "action": "send-keys", "sessionId": "<id>", "keys": ["C-c"] }

提交当前行：

{ "tool": "process", "action": "submit", "sessionId": "<id>" }

粘贴字面文本：

{ "tool": "process", "action": "paste", "sessionId": "<id>", "text": "line1\nline2\n" }

📄 多个 Gateway 网关

原文：https://docs.openclaw.ai/zh-CN/gateway/multiple-gateways

大多数配置只需要一个 Gateway 网关，因为单个 Gateway 网关就可以处理多个消息连接和智能体。如果你需要更强的隔离性或冗余能力（例如救援机器人），请使用隔离的配置档案和端口运行独立的 Gateway 网关。

最佳推荐配置

对大多数用户来说，最简单的救援机器人配置是：

将主机器人保留在默认配置档案上
使用 --profile rescue 运行救援机器人
为救援账户使用一个完全独立的 Telegram 机器人
将救援机器人放在不同的基础端口上，例如 19789

这样可以让救援机器人与主机器人隔离，因此当主机器人宕机时，它仍然可以调试或应用配置更改。基础端口之间至少保留 20 个端口的间隔，这样派生出的浏览器 / canvas / CDP 端口就永远不会冲突。

救援机器人快速开始

除非你有充分理由采用其他方式，否则请将此作为默认路径：

# Rescue bot (separate Telegram bot, separate profile, port 19789)
openclaw --profile rescue onboard
openclaw --profile rescue gateway install --port 19789

如果你的主机器人已经在运行，通常这就是你所需要的全部操作。

在执行 openclaw --profile rescue onboard 期间：

使用独立的 Telegram 机器人令牌
保持使用 rescue 配置档案
使用比主机器人至少高 20 的基础端口
接受默认的救援工作区，除非你已经自行管理了一个

如果新手引导已经为你安装了救援服务，那么最后这条 gateway install 就不需要了。

为什么这样可行

救援机器人能够保持独立，是因为它拥有自己独立的：

配置档案 / 配置
状态目录
工作区
基础端口（以及派生端口）
Telegram 机器人令牌

对于大多数配置，建议为救援配置档案使用一个完全独立的 Telegram 机器人：

易于保持为仅限操作员使用
具有独立的机器人令牌和身份
独立于主机器人的渠道 / 应用安装
当主机器人出现故障时，提供简单的基于私信的恢复路径

`--profile rescue onboard` 会更改什么

openclaw --profile rescue onboard 使用正常的新手引导流程，但会将所有内容写入一个独立的配置档案。

在实际效果上，这意味着救援机器人会拥有自己独立的：

配置文件
状态目录
工作区（默认是 ~/.openclaw/workspace-rescue）
托管服务名称

除此之外，其提示内容与普通新手引导相同。

通用多 Gateway 网关配置

上面的救援机器人布局是最简单的默认方案，但同样的隔离模式也适用于在一台主机上运行任意一对或一组 Gateway 网关。

对于更通用的配置，请为每个额外的 Gateway 网关分配它自己的命名配置档案以及它自己的基础端口：

# main (default profile)
openclaw setup
openclaw gateway --port 18789

# extra gateway
openclaw --profile ops setup
openclaw --profile ops gateway --port 19789

如果你希望两个 Gateway 网关都使用命名配置档案，也完全可行：

openclaw --profile main setup
openclaw --profile main gateway --port 18789

openclaw --profile ops setup
openclaw --profile ops gateway --port 19789

服务也遵循相同的模式：

openclaw gateway install
openclaw --profile ops gateway install --port 19789

当你想要一个后备的操作员通道时，请使用救援机器人快速开始。当你想为不同的渠道、租户、工作区或运维角色运行多个长期存在的 Gateway 网关时，请使用通用配置档案模式。

隔离检查清单

请确保每个 Gateway 网关实例以下项目都是唯一的：

OPENCLAW_CONFIG_PATH — 每个实例各自的配置文件
OPENCLAW_STATE_DIR — 每个实例各自的会话、凭证、缓存
agents.defaults.workspace — 每个实例各自的工作区根目录
gateway.port（或 --port）— 每个实例唯一
派生出的浏览器 / canvas / CDP 端口

如果这些内容被共享，你将遇到配置竞争和端口冲突。

端口映射（派生）

基础端口 = gateway.port（或 OPENCLAW_GATEWAY_PORT / --port）。

浏览器控制服务端口 = 基础端口 + 2（仅限 loopback）
canvas host 由 Gateway 网关 HTTP 服务器提供（与 gateway.port 使用同一个端口）
浏览器配置档案 CDP 端口会从 browser.controlPort + 9 .. + 108 自动分配

如果你在配置或环境变量中覆盖其中任何项，必须确保它们在每个实例之间保持唯一。

浏览器 / CDP 说明（常见陷阱）

不要在多个实例上将 browser.cdpUrl 固定为相同的值。
每个实例都需要它自己的浏览器控制端口和 CDP 范围（从其 Gateway 网关端口派生）。
如果你需要显式的 CDP 端口，请为每个实例设置 browser.profiles.<name>.cdpPort。
远程 Chrome：使用 browser.profiles.<name>.cdpUrl（按配置档案、按实例分别设置）。

手动环境变量示例

OPENCLAW_CONFIG_PATH=~/.openclaw/main.json \
OPENCLAW_STATE_DIR=~/.openclaw \
openclaw gateway --port 18789

OPENCLAW_CONFIG_PATH=~/.openclaw/rescue.json \
OPENCLAW_STATE_DIR=~/.openclaw-rescue \
openclaw gateway --port 19789

快速检查

openclaw gateway status --deep
openclaw --profile rescue gateway status --deep
openclaw --profile rescue gateway probe
openclaw status
openclaw --profile rescue status
openclaw --profile rescue browser status

说明：

gateway status --deep 有助于发现旧安装遗留下来的过时 launchd/systemd/schtasks 服务。
当你有意运行多个隔离的 Gateway 网关时，gateway probe 中出现诸如 multiple reachable gateways detected 之类的警告文本是预期行为。

📄 故障排除

原文：https://docs.openclaw.ai/zh-CN/gateway/troubleshooting

此页面是深度运行手册。如果你想先使用快速排查流程，请从 /help/troubleshooting 开始。

命令阶梯

先按此顺序运行这些命令：

openclaw status
openclaw gateway status
openclaw logs --follow
openclaw doctor
openclaw channels status --probe

预期的健康信号：

openclaw gateway status 显示 Runtime: running、Connectivity probe: ok，以及一行 Capability: ...。
openclaw doctor 未报告阻塞性的配置/服务问题。
openclaw channels status --probe 显示每个账号的实时传输状态，并在支持的地方显示探测/审计结果，例如 works 或 audit ok。

分裂安装和较新配置保护

当 Gateway 网关服务在更新后意外停止，或日志显示某个 openclaw 二进制文件旧于最后写入 openclaw.json 的版本时，使用此部分。

OpenClaw 会用 meta.lastTouchedVersion 标记配置写入。只读命令仍可检查由较新 OpenClaw 写入的配置，但进程和服务变更会拒绝从较旧的二进制文件继续。被阻止的操作包括 Gateway 网关服务启动、停止、重启、卸载、强制服务重新安装、服务模式 Gateway 网关启动，以及 gateway --force 端口清理。

which openclaw
openclaw --version
openclaw gateway status --deep
openclaw config get meta.lastTouchedVersion

修复 PATH，让 openclaw 解析到较新的安装，然后重新运行该操作。

从较新的安装重新安装目标 Gateway 网关服务：

```bash
openclaw gateway install --force
openclaw gateway restart
```

移除仍指向旧 openclaw 二进制文件的过时系统包或旧包装器条目。

仅在有意降级或紧急恢复时，为单个命令设置 OPENCLAW_ALLOW_OLDER_BINARY_DESTRUCTIVE_ACTIONS=1。正常操作时保持未设置。

Skill 符号链接因路径逃逸被跳过

当日志包含以下内容时使用：

Skipping escaped skill path outside its configured root: ... reason=symlink-escape

OpenClaw 将每个 skill 根目录视为一个包含边界。位于
~/.agents/skills、<workspace>/.agents/skills、<workspace>/skills 或
~/.openclaw/skills 下的符号链接，如果其真实目标解析到该根目录之外，
除非该目标被显式信任，否则会被跳过。

检查链接：

ls -l ~/.agents/skills/<name>
realpath ~/.agents/skills/<name>
openclaw config get skills.load

如果目标是有意设置的，请同时配置直接 skill 根目录和允许的符号链接目标：

{
  skills: {
    load: {
      extraDirs: ["~/Projects/manager/skills"],
      allowSymlinkTargets: ["~/Projects/manager/skills"],
    },
  },
}

然后启动新会话，或等待 skills 观察器刷新。如果正在运行的进程早于配置变更，
请重启 Gateway 网关。

不要使用 ~、/ 或整个同步项目文件夹这类宽泛目标。
将 allowSymlinkTargets 限定到包含受信任 SKILL.md 目录的真实 skill 根目录。

相关：

Anthropic 429 长上下文需要额外用量

当日志/错误包含：HTTP 429: rate_limit_error: Extra usage is required for long context requests 时使用此部分。

openclaw logs --follow
openclaw models status
openclaw config get agents.defaults.models

查找：

选中的 Anthropic Opus/Sonnet 模型带有 params.context1m: true。
当前 Anthropic 凭证不具备长上下文使用资格。
请求仅在需要 1M beta 路径的长会话/模型运行中失败。

修复选项：

为该模型禁用 context1m，以回退到普通上下文窗口。

使用符合长上下文请求条件的 Anthropic 凭证，或切换到 Anthropic API key。

配置回退模型，以便 Anthropic 长上下文请求被拒绝时运行仍可继续。

相关：

本地 OpenAI 兼容后端可通过直接探测，但 agent 运行失败

在以下情况使用：

curl ... /v1/models 可用
微型直接 /v1/chat/completions 调用可用
OpenClaw 模型运行仅在正常 agent 轮次中失败

curl http://127.0.0.1:1234/v1/models
curl http://127.0.0.1:1234/v1/chat/completions \
  -H 'content-type: application/json' \
  -d '{"model":"<id>","messages":[{"role":"user","content":"hi"}],"stream":false}'
openclaw infer model run --model <provider/model> --prompt "hi" --json
openclaw logs --follow

查找：

直接微型调用成功，但 OpenClaw 运行仅在较大 prompt 上失败
即使直接 /v1/chat/completions 使用相同的裸模型 ID 可用，
仍出现 model_not_found 或 404 错误
后端报错称 messages[].content 需要字符串
使用 OpenAI 兼容本地后端时，间歇性出现 incomplete turn detected ... stopReason=stop payloads=0 警告
仅在较大 prompt-token 数量或完整 agent 运行时 prompt 下出现的后端崩溃

- 本地 MLX/vLLM 风格服务器出现 model_not_found → 验证 baseUrl 包含 /v1，对于 /v1/chat/completions 后端，api 为 "openai-completions"，并且 models.providers.<provider>.models[].id 是裸的提供商本地 ID。选择时只加一次提供商前缀，例如 mlx/mlx-community/Qwen3-30B-A3B-6bit；保持目录条目为 mlx-community/Qwen3-30B-A3B-6bit。
- messages[...].content: invalid type: sequence, expected a string → 后端拒绝结构化 Chat Completions 内容片段。修复：设置 models.providers.<provider>.models[].compat.requiresStringContent: true。
- validation.keys 或类似 ["role","content"] 的允许消息键 → 后端拒绝 Chat Completions 消息上的 OpenAI 风格重放元数据。修复：设置 models.providers.<provider>.models[].compat.strictMessageKeys: true。
- incomplete turn detected ... stopReason=stop payloads=0 → 后端完成了 Chat Completions 请求，但该轮次没有返回用户可见的助手文本。OpenClaw 会对可安全重放的空 OpenAI 兼容轮次重试一次；持续失败通常表示后端正在发出空/非文本内容，或抑制最终答案文本。
- 直接微型请求成功，但 OpenClaw agent 运行因后端/模型崩溃而失败（例如某些 inferrs 构建上的 Gemma）→ OpenClaw 传输很可能已经正确；失败的是后端无法处理更大的 agent 运行时 prompt 形态。
- 禁用工具后故障减少但没有消失 → 工具 schema 是压力的一部分，但剩余问题仍然是上游模型/服务器容量或后端 bug。

1. 对仅支持字符串的 Chat Completions 后端设置 compat.requiresStringContent: true。
2. 对只接受每条消息上的 role 和 content 的严格 Chat Completions 后端设置 compat.strictMessageKeys: true。
3. 对无法可靠处理 OpenClaw 工具 schema 表面的模型/后端设置 compat.supportsTools: false。
4. 尽可能降低 prompt 压力：更小的工作区引导、更短的会话历史、更轻量的本地模型，或使用具有更强长上下文支持的后端。
5. 如果直接微型请求持续通过，而 OpenClaw agent 轮次仍在后端内部崩溃，请将其视为上游服务器/模型限制，并在那里提交带有已接受 payload 形态的复现。

相关：

无回复

如果渠道已启动但没有任何应答，请先检查路由和策略，再重新连接任何内容。

openclaw status
openclaw channels status --probe
openclaw pairing list --channel <channel> [--account <id>]
openclaw config get channels
openclaw logs --follow

查找：

私信发送者的配对处于待处理状态。
群组提及门控（requireMention、mentionPatterns）。
频道/群组允许列表不匹配。

常见特征：

drop guild message (mention required → 群组消息在被提及前会被忽略。
pairing request → 发送者需要批准。
blocked / allowlist → 发送者/渠道被策略过滤。

相关：

仪表盘控制 UI 连接

当仪表盘/控制 UI 无法连接时，验证 URL、认证模式和安全上下文假设。

openclaw gateway status
openclaw status
openclaw logs --follow
openclaw doctor
openclaw gateway status --json

查找：

正确的探测 URL 和仪表盘 URL。
客户端和 Gateway 网关之间的认证模式/token 不匹配。
在需要设备身份时使用 HTTP。

- device identity required → 非安全上下文或缺少设备认证。
- origin not allowed → 浏览器 Origin 不在 gateway.controlUi.allowedOrigins 中（或你正在从非 loopback 浏览器源连接，且没有显式允许列表）。
- device nonce required / device nonce mismatch → 客户端未完成基于挑战的设备认证流程（connect.challenge + device.nonce）。
- device signature invalid / device signature expired → 客户端为当前握手签署了错误 payload（或过期时间戳）。
- AUTH_TOKEN_MISMATCH 且 canRetryWithDeviceToken=true → 客户端可以用缓存的设备 token 执行一次受信任重试。
- 该缓存 token 重试会复用与配对设备 token 一起存储的缓存 scope 集。显式 deviceToken / 显式 scopes 调用方会保留其请求的 scope 集。
- AUTH_SCOPE_MISMATCH → 设备 token 已被识别，但其已批准 scope 不覆盖此次连接请求；重新配对或批准请求的 scope 契约，而不是轮换共享 Gateway 网关 token。
- 在该重试路径之外，连接认证优先级是先显式共享 token/password，再显式 deviceToken，再已存储设备 token，最后 bootstrap token。
- 在异步 Tailscale Serve Control UI 路径上，同一 {scope, ip} 的失败尝试会在限流器记录失败之前被串行化。因此，同一客户端的两次错误并发重试可能会让第二次尝试显示 retry later，而不是两个普通不匹配。
- 浏览器源 loopback 客户端出现 too many failed authentication attempts (retry later) → 来自同一规范化 Origin 的重复失败会被临时锁定；另一个 localhost 源会使用独立的桶。
- 该重试后仍重复出现 unauthorized → 共享 token/设备 token 漂移；刷新 token 配置，并在需要时重新批准/轮换设备 token。
- gateway connect failed: → 主机/端口/url 目标错误。

认证详情代码快速映射

使用失败 connect 响应中的 error.details.code 来选择下一步操作：

详细代码	含义	建议操作
`AUTH_TOKEN_MISSING`	客户端未发送所需的共享令牌。	在客户端中粘贴/设置令牌，然后重试。对于仪表盘路径：先运行 `openclaw config get gateway.auth.token`，再粘贴到控制 UI 设置中。
`AUTH_TOKEN_MISMATCH`	共享令牌与 Gateway 网关认证令牌不匹配。	如果 `canRetryWithDeviceToken=true`，允许一次可信重试。缓存令牌重试会复用已存储的已批准作用域；显式 `deviceToken` / `scopes` 调用方会保留请求的作用域。如果仍然失败，请运行令牌漂移恢复清单。
`AUTH_DEVICE_TOKEN_MISMATCH`	缓存的按设备令牌已过期或已被撤销。	使用 devices CLI 轮换/重新批准设备令牌，然后重新连接。
`AUTH_SCOPE_MISMATCH`	设备令牌有效，但其已批准的角色/作用域不覆盖此连接请求。	重新配对设备，或批准请求的作用域合约；不要将其视为共享令牌漂移。
`PAIRING_REQUIRED`	设备身份需要批准。检查 `error.details.reason` 是否为 `not-paired`、`scope-upgrade`、`role-upgrade` 或 `metadata-upgrade`，并在存在时使用 `requestId` / `remediationHint`。	批准待处理请求：先运行 `openclaw devices list`，再运行 `openclaw devices approve <requestId>`。作用域/角色升级会在你审核所请求的访问权限后使用同一流程。

使用共享 Gateway 网关令牌/密码认证的直接 loopback 后端 RPC 不应依赖 CLI 的已配对设备作用域基线。如果子智能体或其他内部调用仍因 scope-upgrade 失败，请确认调用方正在使用 client.id: "gateway-client" 和 client.mode: "backend"，并且没有强制指定显式 deviceIdentity 或设备令牌。

设备认证 v2 迁移检查：

openclaw --version
openclaw doctor
openclaw gateway status

如果日志显示 nonce/签名错误，请更新连接客户端并验证它：

客户端等待 Gateway 网关发出的 connect.challenge。

客户端签署与质询绑定的载荷。

客户端使用同一个质询 nonce 发送 connect.params.device.nonce。

如果 openclaw devices rotate / revoke / remove 意外被拒绝：

已配对设备令牌会话只能管理自己的设备，除非调用方同时拥有 operator.admin
openclaw devices rotate --scope ... 只能请求调用方会话已经持有的 operator 作用域

相关内容：

配置（Gateway 网关认证模式）
控制 UI
设备
远程访问
可信代理认证

Gateway 网关服务未运行

在服务已安装但进程无法持续运行时使用此项。

openclaw gateway status
openclaw status
openclaw logs --follow
openclaw doctor
openclaw gateway status --deep   # also scan system-level services

查找：

带退出提示的 Runtime: stopped。
服务配置不匹配（Config (cli) 与 Config (service)）。
端口/监听器冲突。
使用 --deep 时出现额外的 launchd/systemd/schtasks 安装。
Other gateway-like services detected (best effort) 清理提示。

- Gateway start blocked: set gateway.mode=local 或 existing config is missing gateway.mode → 本地 Gateway 网关模式未启用，或配置文件被覆盖并丢失了 gateway.mode。修复：在你的配置中设置 gateway.mode="local"，或重新运行 openclaw onboard --mode local / openclaw setup 来重新写入预期的本地模式配置。如果你通过 Podman 运行 OpenClaw，默认配置路径是 ~/.openclaw/openclaw.json。
- refusing to bind gateway ... without auth → 非 loopback 绑定缺少有效的 Gateway 网关认证路径（令牌/密码，或已配置的可信代理）。
- another gateway instance is already listening / EADDRINUSE → 端口冲突。
- Other gateway-like services detected (best effort) → 存在过期或并行的 launchd/systemd/schtasks 单元。大多数设置应在每台机器上只保留一个 Gateway 网关；如果确实需要多个，请隔离端口 + 配置/状态/工作区。参见 /gateway#multiple-gateways-same-host。
- Doctor 输出 System-level OpenClaw gateway service detected → 存在 systemd 系统单元，而用户级服务缺失。在允许 Doctor 安装用户服务之前，移除或禁用重复项；如果该系统单元是预期的 supervisor，请设置 OPENCLAW_SERVICE_REPAIR_POLICY=external。
- Gateway service port does not match current gateway config → 已安装的 supervisor 仍固定旧的 --port。运行 openclaw doctor --fix 或 openclaw gateway install --force，然后重启 Gateway 网关服务。

相关内容：

Gateway 网关拒绝无效配置

当 Gateway 网关启动因 Invalid config 失败，或热重载日志表示已跳过无效编辑时，使用此项。

openclaw logs --follow
openclaw config file
openclaw config validate
openclaw doctor

查找：

Invalid config at ...
config reload skipped (invalid config): ...
Config write rejected: ...
活动配置旁带时间戳的 openclaw.json.rejected.* 文件
如果 doctor --fix 修复了损坏的直接编辑，则会有带时间戳的 openclaw.json.clobbered.* 文件

- 配置在启动、热重载或 OpenClaw 拥有的写入期间未通过验证。
- Gateway 网关启动以失败关闭方式终止，而不是重写 openclaw.json。
- 热重载会跳过无效的外部编辑，并保持当前运行时配置处于活动状态。
- OpenClaw 拥有的写入会在提交前拒绝无效/破坏性载荷，并保存 .rejected.*。
- openclaw doctor --fix 负责修复。它可以移除非 JSON 前缀，或恢复最后已知良好的副本，同时将被拒绝的载荷保留为 .clobbered.*。

bash CONFIG="$(openclaw config file)" ls -lt "$CONFIG".clobbered.* "$CONFIG".rejected.* 2>/dev/null | head diff -u "$CONFIG" "$(ls -t "$CONFIG".clobbered.* 2>/dev/null | head -n 1)" openclaw config validate openclaw doctor

- .clobbered.* 存在 → Doctor 在修复活动配置时保留了损坏的外部编辑。
- .rejected.* 存在 → OpenClaw 拥有的配置写入在提交前未通过 schema 或覆盖检查。
- Config write rejected: → 写入试图丢弃必需结构、大幅缩小文件，或持久化无效配置。
- config reload skipped (invalid config): → 直接编辑未通过验证，并被正在运行的 Gateway 网关忽略。
- Invalid config at ... → 启动在 Gateway 网关服务启动前失败。
- missing-meta-vs-last-good、gateway-mode-missing-vs-last-good 或 size-drop-vs-last-good:* → OpenClaw 拥有的写入因相较最后已知良好备份丢失字段或大小而被拒绝。
- Config last-known-good promotion skipped → 候选内容包含已脱敏的密钥占位符，例如 ***。

1. 运行 openclaw doctor --fix，让 Doctor 修复带前缀/被覆盖的配置，或恢复最后已知良好配置。
2. 仅从 .clobbered.* 或 .rejected.* 复制预期键名，然后使用 openclaw config set 或 config.patch 应用它们。
3. 重启前运行 openclaw config validate。
4. 如果手动编辑，请保留完整 JSON5 配置，而不是只保留你想更改的局部对象。

相关内容：

Gateway 网关探测警告

当 openclaw gateway probe 能够访问到某些目标，但仍打印警告块时，使用此项。

openclaw gateway probe
openclaw gateway probe --json
openclaw gateway probe --ssh user@gateway-host

查找：

JSON 输出中的 warnings[].code 和 primaryTargetId。
警告是否关于 SSH 回退、多个 Gateway 网关、缺失作用域或未解析的认证引用。

常见特征：

SSH tunnel failed to start; falling back to direct probes. → SSH 设置失败，但命令仍尝试了直接配置目标/loopback 目标。
multiple reachable gateways detected → 多个目标给出了响应。通常这意味着有意的多 Gateway 网关设置，或存在过期/重复的监听器。
Read-probe diagnostics are limited by gateway scopes (missing operator.read) → 连接成功，但详细 RPC 受作用域限制；请配对设备身份，或使用带有 operator.read 的凭证。
Gateway accepted the WebSocket connection, but follow-up read diagnostics failed → 连接成功，但完整诊断 RPC 集合超时或失败。将其视为可访问但诊断能力降级的 Gateway 网关；对比 --json 输出中的 connect.ok 和 connect.rpcOk。
Capability: pairing-pending 或 gateway closed (1008): pairing required → Gateway 网关已响应，但此客户端在正常 operator 访问前仍需要配对/批准。
未解析的 gateway.auth.* / gateway.remote.* SecretRef 警告文本 → 此命令路径无法为失败目标取得认证材料。

相关内容：

频道已连接，但消息未流动

如果频道状态为已连接但消息流已停止，请重点检查策略、权限和频道特定的投递规则。

openclaw channels status --probe
openclaw pairing list --channel <channel> [--account <id>]
openclaw status --deep
openclaw logs --follow
openclaw config get channels

检查：

私信策略（pairing、allowlist、open、disabled）。
群组允许列表和提及要求。
缺少频道 API 权限/作用域。

常见特征：

mention required → 消息被群组提及策略忽略。
pairing / 待批准跟踪 → 发送者未获批准。
missing_scope、not_in_channel、Forbidden、401/403 → 频道认证/权限问题。

相关：

Cron 和 Heartbeat 投递

如果 cron 或 Heartbeat 未运行或未投递，请先验证调度器状态，然后验证投递目标。

openclaw cron status
openclaw cron list
openclaw cron runs --id <jobId> --limit 20
openclaw system heartbeat last
openclaw logs --follow

检查：

Cron 已启用并且存在下一次唤醒。
任务运行历史状态（ok、skipped、error）。
Heartbeat 跳过原因（quiet-hours、requests-in-flight、cron-in-progress、lanes-busy、alerts-disabled、empty-heartbeat-file、no-tasks-due）。

- cron: scheduler disabled; jobs will not run automatically → cron 已禁用。
- cron: timer tick failed → 调度器计时器 tick 失败；检查文件/日志/运行时错误。
- heartbeat skipped 且 reason=quiet-hours → 处于活跃时间窗口之外。
- heartbeat skipped 且 reason=empty-heartbeat-file → HEARTBEAT.md 存在，但只包含空行 / markdown 标题，因此 OpenClaw 会跳过模型调用。
- heartbeat skipped 且 reason=no-tasks-due → HEARTBEAT.md 包含 tasks: 块，但此 tick 没有到期任务。
- heartbeat: unknown accountId → Heartbeat 投递目标的账号 ID 无效。
- heartbeat skipped 且 reason=dm-blocked → Heartbeat 目标解析为私信风格目标，而 agents.defaults.heartbeat.directPolicy（或每个智能体的覆盖配置）设置为 block。

相关：

节点已配对，但工具失败

如果节点已配对但工具失败，请隔离前台、权限和批准状态。

openclaw nodes status
openclaw nodes describe --node <idOrNameOrIp>
openclaw approvals get --node <idOrNameOrIp>
openclaw logs --follow
openclaw status

检查：

节点在线并具备预期能力。
相机/麦克风/位置/屏幕的 OS 权限授予。
Exec 批准和允许列表状态。

常见特征：

NODE_BACKGROUND_UNAVAILABLE → 节点应用必须在前台。
*_PERMISSION_REQUIRED / LOCATION_PERMISSION_REQUIRED → 缺少 OS 权限。
SYSTEM_RUN_DENIED: approval required → exec 批准待处理。
SYSTEM_RUN_DENIED: allowlist miss → 命令被允许列表阻止。

相关：

浏览器工具失败

当浏览器工具操作失败但 Gateway 网关本身健康时使用此项。

openclaw browser status
openclaw browser start --browser-profile openclaw
openclaw browser profiles
openclaw logs --follow
openclaw doctor

检查：

plugins.allow 是否已设置并包含 browser。
有效的浏览器可执行文件路径。
CDP 配置文件可达性。
existing-session / user 配置文件的本地 Chrome 可用性。

- unknown command "browser" 或 unknown command 'browser' → 内置浏览器插件被 plugins.allow 排除。
- 浏览器工具缺失 / 不可用且 browser.enabled=true → plugins.allow 排除了 browser，因此插件从未加载。
- Failed to start Chrome CDP on port → 浏览器进程启动失败。
- browser.executablePath not found → 配置的路径无效。
- browser.cdpUrl must be http(s) or ws(s) → 配置的 CDP URL 使用了不受支持的 scheme，例如 file: 或 ftp:。
- browser.cdpUrl has invalid port → 配置的 CDP URL 端口错误或超出范围。
- Playwright is not available in this gateway build; '<feature>' is unsupported. → 当前 Gateway 网关安装缺少核心浏览器运行时依赖；重新安装或更新 OpenClaw，然后重启 Gateway 网关。ARIA 快照和基本页面截图仍可工作，但导航、AI 快照、CSS 选择器元素截图和 PDF 导出仍不可用。

- Could not find DevToolsActivePort for chrome → Chrome MCP existing-session 尚无法附加到所选浏览器数据目录。打开浏览器检查页面，启用远程调试，保持浏览器打开，批准首次附加提示，然后重试。如果不需要已登录状态，优先使用托管的 openclaw 配置文件。
- No Chrome tabs found for profile="user" → Chrome MCP 附加配置文件没有打开的本地 Chrome 标签页。
- Remote CDP for profile "<name>" is not reachable → 配置的远程 CDP 端点无法从 Gateway 网关主机访问。
- Browser attachOnly is enabled ... not reachable 或 Browser attachOnly is enabled and CDP websocket ... is not reachable → 仅附加配置文件没有可达目标，或 HTTP 端点已响应但 CDP WebSocket 仍无法打开。

- fullPage is not supported for element screenshots → 截图请求将 --full-page 与 --ref 或 --element 混用。
- element screenshots are not supported for existing-session profiles; use ref from snapshot. → Chrome MCP / existing-session 截图调用必须使用页面捕获或快照 --ref，而不是 CSS --element。
- existing-session file uploads do not support element selectors; use ref/inputRef. → Chrome MCP 上传钩子需要快照引用，而不是 CSS 选择器。
- existing-session file uploads currently support one file at a time. → 在 Chrome MCP 配置文件上每次调用发送一个上传。
- existing-session dialog handling does not support timeoutMs. → Chrome MCP 配置文件上的对话框钩子不支持超时覆盖。
- existing-session type does not support timeoutMs overrides. → 对 profile="user" / Chrome MCP existing-session 配置文件上的 act:type 省略 timeoutMs，或在需要自定义超时时使用托管/CDP 浏览器配置文件。
- existing-session evaluate does not support timeoutMs overrides. → 对 profile="user" / Chrome MCP existing-session 配置文件上的 act:evaluate 省略 timeoutMs，或在需要自定义超时时使用托管/CDP 浏览器配置文件。
- response body is not supported for existing-session profiles yet. → responsebody 仍需要托管浏览器或原始 CDP 配置文件。
- 附加-only 或远程 CDP 配置文件上的过期视口 / 深色模式 / 语言区域 / 离线覆盖 → 运行 openclaw browser stop --browser-profile <name> 以关闭活动控制会话，并释放 Playwright/CDP 仿真状态，而无需重启整个 Gateway 网关。

相关：

如果你升级后某些内容突然损坏

大多数升级后的故障来自配置漂移，或现在被强制执行的更严格默认值。

bash openclaw gateway status openclaw config get gateway.mode openclaw config get gateway.remote.url openclaw config get gateway.auth.mode

要检查的内容：

- 如果 `gateway.mode=remote`，CLI 调用可能会指向远程，而你的本地服务是正常的。
- 显式 `--url` 调用不会回退到已存储的凭证。

常见特征：

- `gateway connect failed:` → URL 目标错误。
- `unauthorized` → 端点可达但认证错误。

bash openclaw config get gateway.bind openclaw config get gateway.auth.mode openclaw config get gateway.auth.token openclaw gateway status openclaw logs --follow

要检查的内容：

- 非 loopback 绑定（`lan`、`tailnet`、`custom`）需要有效的 Gateway 网关认证路径：共享 token/密码认证，或正确配置的非 loopback `trusted-proxy` 部署。
- `gateway.token` 等旧键不会替代 `gateway.auth.token`。

常见特征：

- `refusing to bind gateway ... without auth` → 非 loopback 绑定缺少有效的 Gateway 网关认证路径。
- `Connectivity probe: failed` 且运行时正在运行 → Gateway 网关存活，但使用当前认证/url 无法访问。

bash openclaw devices list openclaw pairing list --channel <channel> [--account <id>] openclaw logs --follow openclaw doctor

要检查的内容：

- dashboard/nodes 的待处理设备批准。
- 策略或身份变更后的待处理私信配对批准。

常见特征：

- `device identity required` → 设备认证未满足。
- `pairing required` → 发送者/设备必须获批。

如果检查后服务配置和运行时仍不一致，请从同一配置文件/状态目录重新安装服务元数据：

openclaw gateway install --force
openclaw gateway restart

相关：

📄 安全

原文：https://docs.openclaw.ai/zh-CN/gateway/security

个人助手信任模型。 本指南假设每个 Gateway 网关只有一个受信任的
操作者边界（单用户、个人助手模型）。
OpenClaw 不是供多个对抗性用户共享同一个智能体或 Gateway 网关的敌对多租户安全边界。
如果你需要混合信任或对抗性用户操作，请拆分信任边界（独立 Gateway 网关 +
凭证，最好还有独立 OS 用户或主机）。

先确定范围：个人助手安全模型

OpenClaw 安全指南假设采用个人助手部署：一个受信任的操作者边界，可能有多个智能体。

支持的安全态势：每个 Gateway 网关一个用户/信任边界（建议每个边界一个 OS 用户/主机/VPS）。
不支持作为安全边界：由相互不信任或对抗性的用户共同使用一个共享 Gateway 网关/智能体。
如果需要对抗性用户隔离，请按信任边界拆分（独立 Gateway 网关 + 凭证，并且最好使用独立 OS 用户/主机）。
如果多个不受信任的用户可以向一个启用工具的智能体发消息，请将他们视为共享该智能体的同一组委派工具权限。

本页解释的是在该模型内进行加固。它不声称在一个共享 Gateway 网关上提供敌对多租户隔离。

快速检查：`openclaw security audit`

另见：形式化验证（安全模型）

定期运行此命令（尤其是在更改配置或暴露网络表面之后）：

openclaw security audit
openclaw security audit --deep
openclaw security audit --fix
openclaw security audit --json

security audit --fix 会有意保持范围很窄：它将常见的开放群组
策略切换为 allowlist，恢复 logging.redactSensitive: "tools"，收紧
状态/配置/include-file 权限，并在 Windows 上运行时使用 Windows ACL 重置，
而不是 POSIX chmod。

它会标记常见隐患（Gateway 网关认证暴露、浏览器控制暴露、提权 allowlist、文件系统权限、宽松的 exec 审批，以及开放渠道工具暴露）。

OpenClaw 既是产品，也是实验：你正在把前沿模型行为接入真实消息界面和真实工具。不存在“绝对安全”的设置。 目标是有意识地明确：

谁可以和你的机器人对话
机器人被允许在哪里执行操作
机器人可以接触什么

从仍然可用的最小访问权限开始，然后随着信心增加再扩大范围。

部署和主机信任

OpenClaw 假设主机和配置边界是受信任的：

如果某人可以修改 Gateway 网关主机状态/配置（~/.openclaw，包括 openclaw.json），请将其视为受信任的操作者。
为多个相互不信任/对抗性的操作者运行同一个 Gateway 网关不是推荐设置。
对于混合信任团队，请使用独立 Gateway 网关拆分信任边界（或至少使用独立 OS 用户/主机）。
推荐默认方式：每台机器/主机（或 VPS）一个用户，该用户一个 Gateway 网关，并在该 Gateway 网关中运行一个或多个智能体。
在一个 Gateway 网关实例内，已认证的操作者访问是受信任的控制平面角色，而不是按用户划分的租户角色。
会话标识符（sessionKey、会话 ID、标签）是路由选择器，而不是授权令牌。
如果几个人可以向一个启用工具的智能体发消息，他们每个人都可以操控同一套权限。按用户隔离会话/记忆有助于隐私，但不会把共享智能体转换为按用户划分的主机授权。

安全文件操作

OpenClaw 使用 @openclaw/fs-safe 处理根目录边界内的文件访问、原子写入、归档提取、临时工作区和密钥文件辅助能力。OpenClaw 默认将 fs-safe 的可选 POSIX Python 辅助程序设为关闭；仅在你需要额外的 fd 相对变更加固，并且可以支持 Python 运行时时，才设置 OPENCLAW_FS_SAFE_PYTHON_MODE=auto 或 require。

详情：安全文件操作。

共享 Slack 工作区：真实风险

如果“Slack 中的所有人都可以给机器人发消息”，核心风险就是委派工具权限：

任何允许的发送者都可以在智能体策略内诱导工具调用（exec、浏览器、网络/文件工具）；
来自某个发送者的提示/内容注入可能导致影响共享状态、设备或输出的操作；
如果一个共享智能体拥有敏感凭证/文件，任何允许的发送者都可能通过工具使用驱动数据外泄。

对于团队工作流，请使用最少工具的独立智能体/Gateway 网关；将包含个人数据的智能体保持私有。

公司共享智能体：可接受模式

当使用该智能体的所有人都处于同一信任边界内（例如一个公司团队），并且该智能体严格限定在业务范围内时，这是可以接受的。

在专用机器/VM/容器上运行它；
为该运行时使用专用 OS 用户 + 专用浏览器/配置文件/账号；
不要让该运行时登录个人 Apple/Google 账号或个人密码管理器/浏览器配置文件。

如果你在同一个运行时混用个人身份和公司身份，就会削弱隔离并增加个人数据暴露风险。

Gateway 网关和节点信任概念

将 Gateway 网关和节点视为同一个操作者信任域，但角色不同：

Gateway 网关是控制平面和策略表面（gateway.auth、工具策略、路由）。
节点是与该 Gateway 网关配对的远程执行表面（命令、设备操作、主机本地能力）。
已通过 Gateway 网关认证的调用方在 Gateway 网关范围内受信任。配对后，节点操作就是该节点上的受信任操作者操作。
操作者范围级别和审批时检查汇总在
操作者范围。
使用共享 Gateway 网关
令牌/密码认证的直接 local loopback 后端客户端可以发起内部控制平面 RPC，而无需提供用户
设备身份。这不是远程或浏览器配对绕过：网络
客户端、节点客户端、设备令牌客户端和显式设备身份
仍会经过配对和范围升级执行。
sessionKey 是路由/上下文选择，而不是按用户认证。
Exec 审批（allowlist + ask）是操作者意图的护栏，而不是敌对多租户隔离。
OpenClaw 面向受信任单操作者设置的产品默认值是，允许在 gateway/node 上进行主机 exec，且不显示审批提示（security="full"，ask="off"，除非你收紧它）。该默认值是有意的用户体验设计，本身不是漏洞。
Exec 审批绑定精确请求上下文和尽力而为的直接本地文件操作数；它们不会对每一种运行时/解释器加载器路径进行语义建模。需要强边界时，请使用沙箱隔离和主机隔离。

如果你需要敌对用户隔离，请按 OS 用户/主机拆分信任边界，并运行独立 Gateway 网关。

信任边界矩阵

排查风险时，请将它作为快速模型：

边界或控制	含义	常见误读
`gateway.auth`（令牌/密码/受信任代理/设备认证）	对调用方访问 Gateway 网关 API 进行认证	“要安全就必须在每一帧上使用逐消息签名”
`sessionKey`	用于上下文/会话选择的路由键	“会话键是用户认证边界”
提示/内容护栏	降低模型滥用风险	“仅凭提示注入就证明认证绕过”
`canvas.eval` / 浏览器 evaluate	启用后属于有意提供的操作者能力	“任何 JS eval 原语在此信任模型中都会自动构成漏洞”
本地 TUI `!` shell	显式由操作者触发的本地执行	“本地 shell 便利命令是远程注入”
节点配对和节点命令	已配对设备上的操作者级远程执行	“远程设备控制默认应被视为不受信任用户访问”
`gateway.nodes.pairing.autoApproveCidrs`	可选加入的受信任网络节点注册策略	“默认禁用的 allowlist 是自动配对漏洞”

按设计不属于漏洞

这些模式经常被报告，除非证明存在真实边界绕过，
否则通常会被关闭为无需处理：

仅提示注入的链路，没有策略、认证或沙箱绕过。
假设在一个共享主机或配置上进行敌对多租户操作的声明。
将正常操作者读取路径访问（例如
sessions.list / sessions.preview / chat.history）归类为共享 Gateway 网关设置中的 IDOR 的声明。
仅限 localhost 部署的发现（例如只在 local loopback
Gateway 网关上的 HSTS）。
针对此仓库中不存在的入站路径提出的 Discord 入站 webhook 签名发现。
将节点配对元数据视为 system.run 的隐藏第二层逐命令
审批层的报告；真实执行边界仍然是
Gateway 网关的全局节点命令策略，以及节点自身的 exec
审批。
将已配置的 gateway.nodes.pairing.autoApproveCidrs 本身视为
漏洞的报告。此设置默认禁用，需要
显式 CIDR/IP 条目，仅适用于第一次、无请求范围的 role: node 配对，
并且不会自动批准操作者/浏览器/Control UI、
WebChat、角色升级、范围升级、元数据更改、公钥更改，
或同主机 local loopback 受信任代理标头路径，除非已显式启用 loopback trusted-proxy auth。
将 sessionKey 视为
认证令牌的“缺少按用户授权”发现。

60 秒加固基线

先使用此基线，然后再按受信任智能体选择性重新启用工具：

{
  gateway: {
    mode: "local",
    bind: "loopback",
    auth: { mode: "token", token: "replace-with-long-random-token" },
  },
  session: {
    dmScope: "per-channel-peer",
  },
  tools: {
    profile: "messaging",
    deny: ["group:automation", "group:runtime", "group:fs", "sessions_spawn", "sessions_send"],
    fs: { workspaceOnly: true },
    exec: { security: "deny", ask: "always" },
    elevated: { enabled: false },
  },
  channels: {
    whatsapp: { dmPolicy: "pairing", groups: { "*": { requireMention: true } } },
  },
}

这会让 Gateway 网关保持仅本地访问，隔离私信，并默认禁用控制平面/运行时工具。

共享收件箱快速规则

如果不止一个人可以私信你的机器人：

设置 session.dmScope: "per-channel-peer"（或对多账号渠道使用 "per-account-channel-peer"）。
保持 dmPolicy: "pairing" 或严格 allowlist。
绝不要将共享私信与宽泛工具访问结合使用。
这会加固协作式/共享收件箱，但在用户共享主机/配置写入访问时，它并不是为敌对共同租户隔离而设计的。

上下文可见性模型

OpenClaw 区分两个概念：

触发授权：谁可以触发智能体（dmPolicy、groupPolicy、allowlist、提及门控）。
上下文可见性：哪些补充上下文会被注入模型输入（回复正文、引用文本、线程历史、转发元数据）。

Allowlist 会控制触发和命令授权。contextVisibility 设置控制如何过滤补充上下文（引用回复、线程根、获取的历史）：

contextVisibility: "all"（默认）会按接收时的样子保留补充上下文。
contextVisibility: "allowlist" 会将补充上下文过滤为仅发送已通过活动 allowlist 检查的发送者内容。
contextVisibility: "allowlist_quote" 的行为类似 allowlist，但仍会保留一条明确引用的回复。

按渠道或按房间/会话设置 contextVisibility。设置详情见群聊。

安全建议分诊指南：

如果声明只显示“模型可以看到来自非 allowlist 发送者的引用文本或历史文本”，这类属于可通过 contextVisibility 处理的加固发现，本身不是凭证或沙箱边界绕过。
若要构成安全影响，报告仍需要证明存在信任边界绕过（凭证、策略、沙箱、批准或其他已记录边界）。

审计检查内容（高层级）

入站访问（私信策略、群组策略、allowlist）：陌生人能否触发机器人？
工具爆炸半径（高权限工具 + 开放房间）：提示注入是否可能变成 shell/文件/网络操作？
Exec 文件系统漂移：当 exec/process 仍然可用且没有沙箱文件系统约束时，是否已拒绝可修改文件系统的工具？
Exec 批准漂移（security=full、autoAllowSkills、没有 strictInlineEval 的解释器 allowlist）：主机执行护栏是否仍按你的预期工作？
security="full" 是一种宽泛姿态警告，不是 bug 证明。它是可信个人助手设置所选择的默认值；仅当你的威胁模型需要批准或 allowlist 护栏时才收紧它。
网络暴露（Gateway 网关绑定/凭证、Tailscale Serve/Funnel、弱/短凭证令牌）。
浏览器控制暴露（远程节点、中继端口、远程 CDP 端点）。
本地磁盘卫生（权限、符号链接、配置 include、“同步文件夹”路径）。
插件（插件在没有显式 allowlist 的情况下加载）。
策略漂移/配置错误（已配置沙箱 Docker 设置但沙箱模式关闭；gateway.nodes.denyCommands 模式无效，因为匹配仅按精确命令名进行（例如 system.run），不会检查 shell 文本；危险的 gateway.nodes.allowCommands 条目；全局 tools.profile="minimal" 被按智能体配置文件覆盖；插件拥有的工具在宽松工具策略下可达）。
运行时期望漂移（例如假设隐式 exec 仍意味着 sandbox，但 tools.exec.host 现在默认为 auto；或在沙箱模式关闭时显式设置 tools.exec.host="sandbox"）。
模型卫生（当配置的模型看起来过旧时发出警告；不是硬性阻断）。

如果运行 --deep，OpenClaw 还会尽力尝试一次实时 Gateway 网关探测。

凭据存储映射

审计访问或决定要备份哪些内容时使用此映射：

WhatsApp：~/.openclaw/credentials/whatsapp/<accountId>/creds.json
Telegram 机器人令牌：配置/环境变量或 channels.telegram.tokenFile（仅普通文件；拒绝符号链接）
Discord 机器人令牌：配置/环境变量或 SecretRef（环境变量/文件/exec 提供商）
Slack 令牌：配置/环境变量（channels.slack.*）
配对 allowlist：
~/.openclaw/credentials/<channel>-allowFrom.json（默认账号）
~/.openclaw/credentials/<channel>-<accountId>-allowFrom.json（非默认账号）
模型凭证配置文件：~/.openclaw/agents/<agentId>/agent/auth-profiles.json
Codex runtime 状态：~/.openclaw/agents/<agentId>/agent/codex-home/
文件后备 secrets 载荷（可选）：~/.openclaw/secrets.json
旧版 OAuth 导入：~/.openclaw/credentials/oauth.json

安全审计清单

当审计打印发现时，按以下优先级处理：

任何“开放”+ 已启用工具的情况：先锁定私信/群组（配对/allowlist），再收紧工具策略/沙箱隔离。
公网暴露（LAN 绑定、Funnel、缺少凭证）：立即修复。
浏览器控制远程暴露：像对待操作者访问一样处理（仅 tailnet、谨慎配对节点、避免公网暴露）。
权限：确保状态/配置/凭据/凭证不允许组/全世界读取。
插件：只加载你明确信任的内容。
模型选择：对于任何带工具的机器人，优先使用现代的、经过指令加固的模型。

安全审计术语表

每个审计发现都由结构化 checkId 标识（例如
gateway.bind_no_auth 或 tools.exec.security_full_configured）。常见的
严重级别类别包括：

fs.* - 状态、配置、凭据、凭证配置文件的文件系统权限。
gateway.* - 绑定模式、凭证、Tailscale、控制 UI、可信代理设置。
hooks.*、browser.*、sandbox.*、tools.exec.* - 按表面的加固。
plugins.*、skills.* - 插件/技能供应链和扫描发现。
security.exposure.* - 访问策略与工具爆炸半径交汇处的横切检查。

完整目录（含严重级别、修复键和自动修复支持）见
安全审计检查。

通过 HTTP 使用控制 UI

控制 UI 需要安全上下文（HTTPS 或 localhost）来生成设备身份。
gateway.controlUi.allowInsecureAuth 是一个本地兼容性开关：

在 localhost 上，当页面通过非安全 HTTP 加载时，它允许控制 UI 在没有设备身份的情况下进行凭证验证。
它不会绕过配对检查。
它不会放宽远程（非 localhost）设备身份要求。

优先使用 HTTPS（Tailscale Serve），或在 127.0.0.1 上打开 UI。

仅限应急场景，gateway.controlUi.dangerouslyDisableDeviceAuth
会完全禁用设备身份检查。这是严重的安全降级；除非你正在主动调试并且可以快速还原，否则保持关闭。

与这些危险标志分开，成功的 gateway.auth.mode: "trusted-proxy"
可以允许操作者控制 UI 会话在没有设备身份的情况下进入。这是有意的
凭证模式行为，不是 allowInsecureAuth 捷径，并且它仍然
不会扩展到节点角色控制 UI 会话。

启用此设置时，openclaw security audit 会发出警告。

不安全或危险标志摘要

当已知不安全/危险调试开关启用时，openclaw security audit 会提出
config.insecure_or_dangerous_flags。生产环境中请不要设置这些项。

- gateway.controlUi.allowInsecureAuth=true
- gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true
- gateway.controlUi.dangerouslyDisableDeviceAuth=true
- hooks.gmail.allowUnsafeExternalContent=true
- hooks.mappings[<index>].allowUnsafeExternalContent=true
- tools.exec.applyPatch.workspaceOnly=false
- plugins.entries.acpx.config.permissionMode=approve-all

<Accordion title="配置 schema 中的所有 dangerous* / dangerously* 键">
控制 UI 和浏览器：

- `gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback`
- `gateway.controlUi.dangerouslyDisableDeviceAuth`
- `browser.ssrfPolicy.dangerouslyAllowPrivateNetwork`

渠道名称匹配（内置和插件渠道；适用时也可按
`accounts.<accountId>` 设置）：

- `channels.discord.dangerouslyAllowNameMatching`
- `channels.slack.dangerouslyAllowNameMatching`
- `channels.googlechat.dangerouslyAllowNameMatching`
- `channels.msteams.dangerouslyAllowNameMatching`
- `channels.synology-chat.dangerouslyAllowNameMatching`（插件渠道）
- `channels.synology-chat.dangerouslyAllowInheritedWebhookPath`（插件渠道）
- `channels.zalouser.dangerouslyAllowNameMatching`（插件渠道）
- `channels.irc.dangerouslyAllowNameMatching`（插件渠道）
- `channels.mattermost.dangerouslyAllowNameMatching`（插件渠道）

网络暴露：

- `channels.telegram.network.dangerouslyAllowPrivateNetwork`（也可按账号设置）

沙箱 Docker（默认值 + 按智能体）：

- `agents.defaults.sandbox.docker.dangerouslyAllowReservedContainerTargets`
- `agents.defaults.sandbox.docker.dangerouslyAllowExternalBindSources`
- `agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin`

反向代理配置

如果你在反向代理（nginx、Caddy、Traefik 等）后运行 Gateway 网关，请配置
gateway.trustedProxies，以正确处理转发的客户端 IP。

当 Gateway 网关检测到来自不在 trustedProxies 中的地址的代理标头时，它不会把连接视为本地客户端。如果 Gateway 网关凭证被禁用，这些连接会被拒绝。这可以防止代理连接原本看起来来自 localhost 并获得自动信任而导致的凭证绕过。

gateway.trustedProxies 也会提供给 gateway.auth.mode: "trusted-proxy"，但该凭证模式更严格：

默认情况下，可信代理凭证会对来自 loopback 源的代理失败关闭
同主机 loopback 反向代理可以使用 gateway.trustedProxies 进行本地客户端检测和转发 IP 处理
同主机 loopback 反向代理只有在 gateway.auth.trustedProxy.allowLoopback = true 时才能满足 gateway.auth.mode: "trusted-proxy"；否则请使用令牌/密码凭证

gateway:
  trustedProxies:
    - "10.0.0.1" # reverse proxy IP
  # Optional. Default false.
  # Only enable if your proxy cannot provide X-Forwarded-For.
  allowRealIpFallback: false
  auth:
    mode: password
    password: ${OPENCLAW_GATEWAY_PASSWORD}

配置 trustedProxies 后，Gateway 网关会使用 X-Forwarded-For 确定客户端 IP。默认情况下会忽略 X-Real-IP，除非显式设置 gateway.allowRealIpFallback: true。

可信代理标头不会让节点设备配对自动受信任。
gateway.nodes.pairing.autoApproveCidrs 是单独的、默认禁用的
操作者策略。即使启用，来自 loopback 源的可信代理标头路径
也会被排除在节点自动批准之外，因为本地调用者可以伪造这些
标头，包括显式启用 loopback 可信代理凭证时也是如此。

良好的反向代理行为（覆盖传入的转发标头）：

proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Real-IP $remote_addr;

不良的反向代理行为（追加/保留不可信的转发标头）：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

HSTS 和源注意事项

OpenClaw Gateway 网关优先面向本地/loopback。如果你在反向代理处终止 TLS，请在那里对面向代理的 HTTPS 域名设置 HSTS。
如果 Gateway 网关本身终止 HTTPS，你可以设置 gateway.http.securityHeaders.strictTransportSecurity，让 OpenClaw 响应发出 HSTS 标头。
详细部署指南见可信代理凭证。
对于非 loopback 控制 UI 部署，默认需要 gateway.controlUi.allowedOrigins。
gateway.controlUi.allowedOrigins: ["*"] 是显式允许所有浏览器源的策略，不是加固默认值。避免在严格受控的本地测试之外使用它。
即使启用了通用 loopback 豁免，loopback 上的浏览器源凭证失败仍会受到速率限制，但锁定键会按
规范化的 Origin 值划分，而不是使用一个共享的 localhost 桶。
gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true 会启用 Host 标头源回退模式；请将其视为由操作者选择的危险策略。
将 DNS 重新绑定和代理 Host 标头行为视为部署加固问题；保持 trustedProxies 收紧，并避免将 Gateway 网关直接暴露到公网。

本地会话日志保存在磁盘上

OpenClaw 将会话转录记录存储在磁盘上的 ~/.openclaw/agents/<agentId>/sessions/*.jsonl 下。
这是会话连续性以及（可选的）会话记忆索引所必需的，但这也意味着
任何拥有文件系统访问权限的进程/用户都可以读取这些日志。请将磁盘访问视为信任
边界，并锁定 ~/.openclaw 的权限（请参阅下面的审计部分）。如果你需要
在智能体之间实现更强隔离，请让它们在独立的操作系统用户或独立主机下运行。

节点执行（system.run）

如果 macOS 节点已配对，Gateway 网关可以在该节点上调用 system.run。这是 Mac 上的远程代码执行：

需要节点配对（批准 + 令牌）。
Gateway 网关节点配对不是逐命令批准界面。它建立节点身份/信任并签发令牌。
Gateway 网关通过 gateway.nodes.allowCommands / denyCommands 应用粗粒度的全局节点命令策略。
在 Mac 上通过 Settings → Exec approvals（安全 + 询问 + 允许列表）控制。
每节点 system.run 策略是节点自己的执行批准文件（exec.approvals.node.*），它可以比 Gateway 网关的全局命令 ID 策略更严格或更宽松。
以 security="full" 和 ask="off" 运行的节点遵循默认的受信任操作员模型。除非你的部署明确要求更严格的批准或允许列表立场，否则应将其视为预期行为。
批准模式会绑定精确的请求上下文，并在可能时绑定一个具体的本地脚本/文件操作数。如果 OpenClaw 无法为解释器/运行时命令准确识别一个直接本地文件，基于批准的执行将被拒绝，而不是承诺完整的语义覆盖。
对于 host=node，基于批准的运行还会存储一个规范化的已准备
systemRunPlan；后续已批准的转发会复用该已存储计划，并且 Gateway 网关
验证会拒绝调用方在批准请求创建后对命令/cwd/会话上下文的编辑。
如果你不想要远程执行，请将安全性设置为 deny，并移除该 Mac 的节点配对。

这种区别对分诊很重要：

重新连接的已配对节点宣告不同的命令列表，本身并不是漏洞，只要 Gateway 网关全局策略和节点的本地执行批准仍在强制执行实际执行边界。
将节点配对元数据视为第二个隐藏的逐命令批准层的报告，通常是策略/用户体验混淆，而不是安全边界绕过。

动态 Skills（观察器 / 远程节点）

OpenClaw 可以在会话中途刷新 Skills 列表：

Skills 观察器：对 SKILL.md 的更改可以在下一个智能体轮次更新 Skills 快照。
远程节点：连接 macOS 节点可以让仅限 macOS 的 Skills 符合条件（基于二进制探测）。

请将技能文件夹视为受信任代码，并限制谁可以修改它们。

威胁模型

你的 AI 助手可以：

执行任意 shell 命令
读取/写入文件
访问网络服务
向任何人发送消息（如果你给它 WhatsApp 访问权限）

给你发消息的人可以：

试图诱导你的 AI 做坏事
通过社交工程获取你的数据访问权限
探测基础设施详情

核心概念：先访问控制，后智能能力

这里的大多数失败并不是复杂漏洞，而是“有人给机器人发了消息，机器人照做了”。

OpenClaw 的立场：

身份优先：决定谁可以与机器人对话（私信配对 / 允许列表 / 显式“open”）。
接着限定范围：决定机器人被允许在哪里操作（群组允许列表 + 提及门控、工具、沙箱隔离、设备权限）。
最后考虑模型：假设模型可能被操纵；按操纵影响范围受限的方式设计。

命令授权模型

斜杠命令和指令只会对已授权发送者生效。授权派生自
渠道允许列表/配对加上 commands.useAccessGroups（请参阅配置
和斜杠命令）。如果渠道允许列表为空或包含 "*"，
该渠道的命令实际上就是开放的。

/exec 是面向已授权操作员的仅限会话便利功能。它不会写入配置或
更改其他会话。

控制平面工具风险

两个内置工具可以进行持久性的控制平面更改：

gateway 可以使用 config.schema.lookup / config.get 检查配置，并可以使用 config.apply、config.patch 和 update.run 进行持久更改。
cron 可以创建计划任务，这些任务会在原始聊天/任务结束后继续运行。

仅限所有者的 gateway 运行时工具仍会拒绝重写
tools.exec.ask 或 tools.exec.security；旧版 tools.bash.* 别名会在写入前
规范化到同一组受保护的执行路径。
智能体驱动的 gateway config.apply 和 gateway config.patch 编辑
默认失败关闭：只有一小组提示词、模型和提及门控路径可由智能体调优。
因此，新的敏感配置树会受到保护，除非它们被有意添加到允许列表。

对于任何处理不受信任内容的智能体/界面，默认拒绝这些工具：

{
  tools: {
    deny: ["gateway", "cron", "sessions_spawn", "sessions_send"],
  },
}

commands.restart=false 只会阻止重启操作。它不会禁用 gateway 配置/更新操作。

插件

插件与 Gateway 网关在同一进程内运行。请将它们视为受信任代码：

只安装来自你信任来源的插件。
优先使用显式的 plugins.allow 允许列表。
启用前审查插件配置。
插件更改后重启 Gateway 网关。
如果你安装或更新插件（openclaw plugins install <package>、openclaw plugins update <id>），请像运行不受信任代码一样对待它：
安装路径是活动插件安装根目录下的逐插件目录。
OpenClaw 会在安装/更新前运行内置危险代码扫描。默认情况下，critical 发现会阻止操作。
npm 和 git 插件安装只会在显式安装/更新流程期间运行包管理器依赖收敛。本地路径和归档会被视为自包含插件包；OpenClaw 会复制/引用它们，而不运行 npm install。
优先使用固定的精确版本（@scope/pkg@1.2.3），并在启用前检查磁盘上解包后的代码。
--dangerously-force-unsafe-install 仅用于插件安装/更新流程中内置扫描误报的破窗场景。它不会绕过插件 before_install 钩子策略阻止，也不会绕过扫描失败。
Gateway 网关支持的技能依赖安装遵循相同的危险/可疑拆分：内置 critical 发现会阻止操作，除非调用方显式设置 dangerouslyForceUnsafeInstall，而可疑发现仍只会警告。openclaw skills install 仍是独立的 ClawHub 技能下载/安装流程。

详情：插件

私信访问模型：配对、允许列表、开放、禁用

所有当前支持私信的渠道都支持一个私信策略（dmPolicy 或 *.dm.policy），该策略会在消息被处理之前门控入站私信：

pairing（默认）：未知发送者会收到一个简短配对码，机器人会忽略他们的消息，直到批准为止。代码在 1 小时后过期；重复私信不会重新发送代码，除非创建新请求。默认情况下，每个渠道的待处理请求上限为 3 个。
allowlist：未知发送者会被阻止（没有配对握手）。
open：允许任何人私信（公开）。要求渠道允许列表包含 "*"（显式选择加入）。
disabled：完全忽略入站私信。

通过 CLI 批准：

openclaw pairing list <channel>
openclaw pairing approve <channel> <code>

详情 + 磁盘上的文件：配对

私信会话隔离（多用户模式）

默认情况下，OpenClaw 会将所有私信路由到主会话，因此你的助手可以跨设备和渠道保持连续性。如果多个人可以私信机器人（开放私信或多人允许列表），请考虑隔离私信会话：

{
  session: { dmScope: "per-channel-peer" },
}

这可以防止跨用户上下文泄漏，同时保持群聊隔离。

这是消息上下文边界，不是主机管理员边界。如果用户彼此对抗，并且共享同一 Gateway 网关主机/配置，请改为按信任边界运行独立网关。

安全私信模式（推荐）

将上面的片段视为安全私信模式：

默认：session.dmScope: "main"（所有私信共享一个会话以保持连续性）。
本地 CLI 新手引导默认值：未设置时写入 session.dmScope: "per-channel-peer"（保留现有显式值）。
安全私信模式：session.dmScope: "per-channel-peer"（每个渠道+发送者组合获得一个隔离的私信上下文）。
跨渠道对等方隔离：session.dmScope: "per-peer"（每个发送者在同一类型的所有渠道中获得一个会话）。

如果你在同一渠道上运行多个账号，请改用 per-account-channel-peer。如果同一个人通过多个渠道联系你，请使用 session.identityLinks 将这些私信会话合并为一个规范身份。请参阅会话管理和配置。

私信和群组的允许列表

OpenClaw 有两个独立的“谁可以触发我？”层：

私信允许列表（allowFrom / channels.discord.allowFrom / channels.slack.allowFrom；旧版：channels.discord.dm.allowFrom、channels.slack.dm.allowFrom）：谁被允许在直接消息中与机器人对话。
当 dmPolicy="pairing" 时，批准会写入 ~/.openclaw/credentials/ 下的账号范围配对允许列表存储（默认账号为 <channel>-allowFrom.json，非默认账号为 <channel>-<accountId>-allowFrom.json），并与配置允许列表合并。
群组允许列表（特定于渠道）：机器人究竟会接受哪些群组/渠道/服务器的消息。
常见模式：
- channels.whatsapp.groups、channels.telegram.groups、channels.imessage.groups：逐群组默认值，例如 requireMention；设置后，它也会充当群组允许列表（包含 "*" 以保留全部允许行为）。
- groupPolicy="allowlist" + groupAllowFrom：限制谁可以在群组会话_内部_触发机器人（WhatsApp/Telegram/Signal/iMessage/Microsoft Teams）。
- channels.discord.guilds / channels.slack.channels：逐界面允许列表 + 提及默认值。
群组检查按此顺序运行：先运行 groupPolicy/群组允许列表，再运行提及/回复激活。
回复机器人消息（隐式提及）不会绕过 groupAllowFrom 等发送者允许列表。
安全注意事项：请将 dmPolicy="open" 和 groupPolicy="open" 视为最后手段设置。它们应极少使用；除非你完全信任房间里的每个成员，否则请优先使用配对 + 允许列表。

详情：配置和群组

提示词注入（它是什么，为什么重要）

提示词注入是指攻击者精心构造一条消息，操纵模型去做不安全的事情（“忽略你的指令”、“转储你的文件系统”、“打开此链接并运行命令”等）。

即使有强系统提示词，提示词注入也没有被解决。系统提示词护栏只是软性指导；硬性强制来自工具策略、执行批准、沙箱隔离和渠道允许列表（并且操作员按设计可以禁用这些）。实践中有帮助的是：

保持入站私信受限（配对/允许列表）。
在群组中优先使用提及门控；避免在公共房间中使用“始终在线”的机器人。
默认将链接、附件和粘贴的指令视为恶意内容。
在沙箱中运行敏感工具执行；不要把密钥放在智能体可访问的文件系统中。
注意：沙箱隔离是选择性启用的。如果沙箱模式关闭，隐式 host=auto 会解析为 Gateway 网关主机。显式 host=sandbox 仍会失败关闭，因为没有可用的沙箱运行时。如果你希望在配置中明确这种行为，请设置 host=gateway。
将高风险工具（exec、browser、web_fetch、web_search）限制给受信任智能体或显式允许列表。
如果你将解释器（python、node、ruby、perl、php、lua、osascript）加入允许列表，请启用 tools.exec.strictInlineEval，这样内联 eval 形式仍需要显式批准。
Shell 批准分析也会拒绝 未加引号的 heredoc 中的 POSIX 参数展开形式（$VAR、$?、$$、$1、$@、${…}），因此已加入允许列表的 heredoc 正文不能把 shell 展开伪装成纯文本绕过允许列表审查。给 heredoc 终止符加引号（例如 <<'EOF'）以选择字面正文语义；会展开变量的未加引号 heredoc 会被拒绝。
模型选择很重要： 较旧/较小/遗留模型在抵御提示注入和工具误用方面明显不够稳健。对于启用工具的智能体，请使用可用的最新一代、最强、经过指令加固的模型。

应视为不可信的危险信号：

“读取此文件/URL，并严格按其中内容执行。”
“忽略你的系统提示或安全规则。”
“泄露你的隐藏指令或工具输出。”
“粘贴 ~/.openclaw 或你的日志的完整内容。”

外部内容特殊令牌清理

OpenClaw 会在包装后的外部内容和元数据到达模型之前，剥离常见的自托管 LLM 聊天模板特殊令牌字面量。覆盖的标记系列包括 Qwen/ChatML、Llama、Gemma、Mistral、Phi 以及 GPT-OSS 角色/轮次令牌。

原因：

前接自托管模型的 OpenAI 兼容后端有时会保留用户文本中出现的特殊令牌，而不是屏蔽它们。否则，能够写入入站外部内容（获取的页面、电子邮件正文、文件内容工具输出）的攻击者可能注入合成的 assistant 或 system 角色边界，并逃逸包装内容的防护边界。
清理发生在外部内容包装层，因此会统一应用于获取/读取工具和入站渠道内容，而不是按提供商分别处理。
出站模型响应已经有单独的清理器，会在最终渠道交付边界，从用户可见回复中剥离泄露的 <tool_call>、<function_calls>、<system-reminder>、<previous_response> 和类似的内部运行时脚手架。外部内容清理器是对应的入站处理。

这不会替代本页其他加固措施：dmPolicy、允许列表、exec 批准、沙箱隔离和 contextVisibility 仍然承担主要工作。它关闭的是针对自托管栈的一个特定分词器层绕过问题，这类栈会原样转发带特殊令牌的用户文本。

不安全外部内容绕过标志

OpenClaw 包含显式绕过标志，会禁用外部内容安全包装：

hooks.mappings[].allowUnsafeExternalContent
hooks.gmail.allowUnsafeExternalContent
Cron 负载字段 allowUnsafeExternalContent

指导：

在生产环境中保持这些项未设置/为 false。
仅为范围严格限定的调试临时启用。
如果启用，请隔离该智能体（沙箱 + 最少工具 + 专用会话命名空间）。

钩子风险说明：

钩子负载是不可信内容，即使交付来自你控制的系统（邮件/文档/Web 内容可能携带提示注入）。
较弱的模型层级会增加这种风险。对于钩子驱动的自动化，优先使用强大的现代模型层级，并保持严格的工具策略（tools.profile: "messaging" 或更严格），同时在可行时启用沙箱隔离。

提示注入不需要公共私信

即使只有你可以给机器人发消息，提示注入仍然可能通过机器人读取的任何不可信内容发生（Web 搜索/获取结果、浏览器页面、电子邮件、文档、附件、粘贴的日志/代码）。换句话说：发送者并不是唯一的威胁面；内容本身也可能携带对抗性指令。

启用工具时，典型风险是外泄上下文或触发工具调用。通过以下方式降低影响范围：

使用只读或禁用工具的读取器智能体来总结不可信内容，然后将摘要传递给你的主智能体。
除非需要，否则为启用工具的智能体关闭 web_search / web_fetch / browser。
对于 OpenResponses URL 输入（input_file / input_image），设置严格的 gateway.http.endpoints.responses.files.urlAllowlist 和 gateway.http.endpoints.responses.images.urlAllowlist，并保持较低的 maxUrlParts。空允许列表会被视为未设置；如果你想完全禁用 URL 获取，请使用 files.allowUrl: false / images.allowUrl: false。
对于 OpenResponses 文件输入，解码后的 input_file 文本仍会作为不可信外部内容注入。不要因为 Gateway 网关在本地解码了文件文本，就认为它是可信的。注入的块仍会携带显式的 <<<EXTERNAL_UNTRUSTED_CONTENT ...>>> 边界标记和 Source: External 元数据，尽管此路径省略了较长的 SECURITY NOTICE: 横幅。
当媒体理解在把文本追加到媒体提示之前从附加文档中提取文本时，也会应用相同的基于标记的包装。
为任何接触不可信输入的智能体启用沙箱隔离和严格工具允许列表。
不要把密钥放进提示；改为通过 Gateway 网关主机上的环境变量/配置传递。

自托管 LLM 后端

与托管提供商相比，OpenAI 兼容的自托管后端（如 vLLM、SGLang、TGI、LM Studio 或自定义 Hugging Face 分词器栈）在处理聊天模板特殊令牌的方式上可能不同。如果后端把用户内容中的 <|im_start|>、<|start_header_id|> 或 <start_of_turn> 等字面字符串分词为结构性聊天模板令牌，不可信文本就可能尝试在分词器层伪造角色边界。

OpenClaw 会在将包装后的外部内容分发给模型之前，剥离常见模型系列的特殊令牌字面量。请保持外部内容包装启用，并在可用时优先使用会拆分或转义用户提供内容中特殊令牌的后端设置。OpenAI 和 Anthropic 等托管提供商已经应用自己的请求侧清理。

模型强度（安全说明）

提示注入抵抗能力在不同模型层级之间并不一致。较小/更便宜的模型通常更容易受到工具误用和指令劫持的影响，尤其是在对抗性提示下。

对于启用工具的智能体或会读取不可信内容的智能体，使用较旧/较小模型时的提示注入风险通常过高。不要在较弱的模型层级上运行这些工作负载。

建议：

对任何可以运行工具或接触文件/网络的机器人，使用最新一代、最佳层级的模型。
不要为启用工具的智能体或不可信收件箱使用较旧/较弱/较小的层级；提示注入风险太高。
如果必须使用较小模型，请降低影响范围（只读工具、强沙箱隔离、最小文件系统访问、严格允许列表）。
运行小模型时，除非输入受到严格控制，否则请为所有会话启用沙箱隔离并禁用 web_search/web_fetch/browser。
对于输入可信且没有工具的纯聊天个人助手，较小模型通常没问题。

群组中的推理和详细输出

/reasoning、/verbose 和 /trace 可能暴露内部推理、工具输出或插件诊断，而这些内容并不应出现在公共渠道中。在群组设置中，请将它们视为仅用于调试，并保持关闭，除非你明确需要它们。

指导：

在公共房间中保持 /reasoning、/verbose 和 /trace 禁用。
如果启用它们，只应在受信任私信或严格受控的房间中启用。
请记住：详细输出和跟踪输出可能包含工具参数、URL、插件诊断以及模型看到的数据。

配置加固示例

文件权限

在 Gateway 网关主机上保持配置 + 状态私有：

~/.openclaw/openclaw.json: 600（仅用户可读/写）
~/.openclaw: 700（仅用户）

openclaw doctor 可以发出警告，并主动收紧这些权限。

网络暴露（绑定、端口、防火墙）

Gateway 网关在单个端口上复用 WebSocket + HTTP：

默认：18789
配置/标志/环境变量：gateway.port、--port、OPENCLAW_GATEWAY_PORT

此 HTTP 表面包括控制 UI 和画布主机：

控制 UI（SPA 资源）（默认基础路径 /）
画布主机：/__openclaw__/canvas/ 和 /__openclaw__/a2ui/（任意 HTML/JS；视为不可信内容）

如果你在普通浏览器中加载画布内容，请像对待任何其他不可信网页一样对待它：

不要将画布主机暴露给不可信网络/用户。
除非你完全理解其影响，否则不要让画布内容与特权 Web 表面共享同源。

绑定模式控制 Gateway 网关监听的位置：

gateway.bind: "loopback"（默认）：只有本地客户端可以连接。
非 loopback 绑定（"lan"、"tailnet"、"custom"）会扩大攻击面。仅在有 Gateway 网关认证（共享令牌/密码或正确配置的受信任代理）和真实防火墙时使用它们。

经验法则：

优先使用 Tailscale Serve，而不是 LAN 绑定（Serve 会让 Gateway 网关保持在 loopback 上，由 Tailscale 处理访问）。
如果必须绑定到 LAN，请用防火墙将端口限制为严格的源 IP 允许列表；不要广泛做端口转发。
切勿在 0.0.0.0 上以未认证方式暴露 Gateway 网关。

使用 UFW 发布 Docker 端口

如果你在 VPS 上使用 Docker 运行 OpenClaw，请记住，已发布的容器端口（-p HOST:CONTAINER 或 Compose ports:）会通过 Docker 的转发链路路由，而不只是主机 INPUT 规则。

为了让 Docker 流量与你的防火墙策略保持一致，请在 DOCKER-USER 中强制执行规则（此链会在 Docker 自己的接受规则之前评估）。在许多现代发行版上，iptables/ip6tables 使用 iptables-nft 前端，并且仍会将这些规则应用到 nftables 后端。

最小允许列表示例（IPv4）：

# /etc/ufw/after.rules (append as its own *filter section)
*filter
:DOCKER-USER - [0:0]
-A DOCKER-USER -m conntrack --ctstate ESTABLISHED,RELATED -j RETURN
-A DOCKER-USER -s 127.0.0.0/8 -j RETURN
-A DOCKER-USER -s 10.0.0.0/8 -j RETURN
-A DOCKER-USER -s 172.16.0.0/12 -j RETURN
-A DOCKER-USER -s 192.168.0.0/16 -j RETURN
-A DOCKER-USER -s 100.64.0.0/10 -j RETURN
-A DOCKER-USER -p tcp --dport 80 -j RETURN
-A DOCKER-USER -p tcp --dport 443 -j RETURN
-A DOCKER-USER -m conntrack --ctstate NEW -j DROP
-A DOCKER-USER -j RETURN
COMMIT

IPv6 有单独的表。如果启用了 Docker IPv6，请在 /etc/ufw/after6.rules 中添加匹配策略。

避免在文档片段中硬编码像 eth0 这样的接口名称。接口名称会因 VPS 镜像而异（ens3、enp* 等），不匹配可能会意外跳过你的拒绝规则。

重新加载后的快速验证：

ufw reload
iptables -S DOCKER-USER
ip6tables -S DOCKER-USER
nmap -sT -p 1-65535 <public-ip> --open

预期外部端口应仅为你有意暴露的端口（对于大多数设置：SSH + 你的反向代理端口）。

mDNS/Bonjour 设备发现

启用内置 bonjour 插件时，Gateway 网关会通过 mDNS（端口 5353 上的 _openclaw-gw._tcp）广播其存在，用于本地设备发现。在完整模式下，这包括可能暴露运行细节的 TXT 记录：

cliPath：CLI 二进制文件的完整文件系统路径（会暴露用户名和安装位置）
sshPort：公布主机上的 SSH 可用性
displayName、lanHost：主机名信息

操作安全注意事项： 广播基础设施细节会让本地网络中的任何人更容易进行侦察。即使是文件系统路径和 SSH 可用性这类“无害”信息，也会帮助攻击者绘制你的环境图。

建议：

除非需要 LAN 设备发现，否则保持 Bonjour 禁用。 Bonjour 会在 macOS 主机上自动启动，在其他地方则需要选择启用；直接 Gateway 网关 URL、Tailnet、SSH 或广域 DNS-SD 可以避免本地组播。
最小模式（启用 Bonjour 时的默认模式，建议用于暴露的网关）：从 mDNS 广播中省略敏感字段：

json5 { discovery: { mdns: { mode: "minimal" }, }, }

如果你想保持插件启用但禁止本地设备发现，请使用 禁用 mDNS 模式：

json5 { discovery: { mdns: { mode: "off" }, }, }

完整模式（选择启用）：在 TXT 记录中包含 cliPath + sshPort：

json5 { discovery: { mdns: { mode: "full" }, }, }

环境变量（替代方式）：设置 OPENCLAW_DISABLE_BONJOUR=1，无需修改配置即可禁用 mDNS。

当 Bonjour 在最小模式下启用时，Gateway 网关会广播足够用于设备发现的信息（role、gatewayPort、transport），但会省略 cliPath 和 sshPort。需要 CLI 路径信息的应用可以改为通过经过身份验证的 WebSocket 连接获取。

锁定 Gateway 网关 WebSocket（本地认证）

默认情况下 必须启用 Gateway 网关认证。如果未配置有效的网关认证路径，
Gateway 网关会拒绝 WebSocket 连接（失败关闭）。

新手引导默认会生成令牌（即使是 loopback），因此
本地客户端必须进行身份验证。

设置令牌，使所有 WS 客户端都必须进行身份验证：

{
  gateway: {
    auth: { mode: "token", token: "your-token" },
  },
}

Doctor 可以为你生成一个：openclaw doctor --generate-gateway-token。

gateway.remote.token 和 gateway.remote.password 是客户端凭证来源。它们本身不会保护本地 WS 访问。仅当 gateway.auth.* 未设置时，本地调用路径才可以使用 gateway.remote.* 作为回退。如果 gateway.auth.token 或 gateway.auth.password 通过 SecretRef 显式配置但无法解析，解析会失败关闭（不会用远程回退来掩盖）。

可选：使用 wss:// 时，通过 gateway.remote.tlsFingerprint 固定远程 TLS。
明文 ws:// 默认仅限 loopback。对于受信任的私有网络
路径，请在客户端进程上设置 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1
作为应急开关。这有意仅作为进程环境变量，而不是
openclaw.json 配置键。
移动端配对以及 Android 手动或扫码网关路由更严格：
loopback 可接受明文，但私有 LAN、链路本地、.local 和
无点主机名必须使用 TLS，除非你显式选择启用受信任的
私有网络明文路径。

本地设备配对：

直接本地 local loopback 连接会自动批准设备配对，以保持同主机客户端顺畅。
OpenClaw 还有一条较窄的后端/容器本地自连接路径，用于受信任的共享密钥辅助流程。
Tailnet 和 LAN 连接，包括同主机 Tailnet 绑定，都会被视为远程配对，仍然需要批准。
loopback 请求上的转发头证据会使 loopback 本地性失效。元数据升级自动批准的范围很窄。两项规则请参阅 Gateway 网关配对。

认证模式：

gateway.auth.mode: "token"：共享不记名令牌（推荐用于大多数设置）。
gateway.auth.mode: "password"：密码认证（建议通过环境变量设置：OPENCLAW_GATEWAY_PASSWORD）。
gateway.auth.mode: "trusted-proxy"：信任具备身份感知能力的反向代理，由其认证用户并通过标头传递身份（参见受信任代理认证）。

轮换检查清单（令牌/密码）：

生成/设置新的密钥（gateway.auth.token 或 OPENCLAW_GATEWAY_PASSWORD）。
重启 Gateway 网关（如果 macOS 应用负责监管 Gateway 网关，则重启 macOS 应用）。
更新所有远程客户端（调用 Gateway 网关的机器上的 gateway.remote.token / .password）。
验证旧凭证无法再连接。

Tailscale Serve 身份标头

当 gateway.auth.allowTailscale 为 true（Serve 的默认值）时，OpenClaw
会接受 Tailscale Serve 身份标头（tailscale-user-login）用于 Control
UI/WebSocket 认证。OpenClaw 通过本地 Tailscale 守护进程解析
x-forwarded-for 地址（tailscale whois）并将其与标头匹配来验证身份。
这只会在请求命中 loopback，并且包含由 Tailscale 注入的
x-forwarded-for、x-forwarded-proto 和 x-forwarded-host 时触发。
对于这条异步身份检查路径，同一 {scope, ip} 的失败尝试会在限流器记录失败之前串行化。
因此，来自同一个 Serve 客户端的并发错误重试可能会立即锁定第二次尝试，
而不是以两次普通不匹配的形式竞争通过。
HTTP API 端点（例如 /v1/*、/tools/invoke 和 /api/channels/*）
不会使用 Tailscale 身份标头认证。它们仍会遵循网关配置的
HTTP 认证模式。

重要边界说明：

Gateway 网关 HTTP 不记名认证实际上是全有或全无的操作员访问。
将可以调用 /v1/chat/completions、/v1/responses 或 /api/channels/* 的凭证视为该网关的完全访问操作员密钥。
在 OpenAI 兼容 HTTP 表面上，共享密钥不记名认证会恢复完整的默认操作员作用域（operator.admin、operator.approvals、operator.pairing、operator.read、operator.talk.secrets、operator.write）以及 Agent 轮次的所有者语义；更窄的 x-openclaw-scopes 值不会降低这条共享密钥路径的权限。
HTTP 上的按请求作用域语义仅在请求来自带身份的模式时适用，例如受信任代理认证，或私有入口上的 gateway.auth.mode="none"。
在这些带身份的模式中，省略 x-openclaw-scopes 会回退到正常的操作员默认作用域集合；当你需要更窄的作用域集合时，请显式发送该标头。
/tools/invoke 遵循相同的共享密钥规则：令牌/密码不记名认证在那里也被视为完整操作员访问，而带身份的模式仍会遵守声明的作用域。
不要与不受信任的调用方共享这些凭证；建议为每个信任边界使用单独的网关。

信任假设： 无令牌 Serve 认证假设网关主机是受信任的。
不要把它当作针对恶意同主机进程的保护。如果不受信任的
本地代码可能在网关主机上运行，请禁用 gateway.auth.allowTailscale，
并通过 gateway.auth.mode: "token" 或 "password" 要求显式共享密钥认证。

安全规则： 不要从你自己的反向代理转发这些标头。如果
你在网关前终止 TLS 或代理，请禁用
gateway.auth.allowTailscale，并改用共享密钥认证（gateway.auth.mode: "token" 或 "password"）或受信任代理认证。

受信任代理：

如果你在 Gateway 网关前终止 TLS，请将 gateway.trustedProxies 设置为你的代理 IP。
OpenClaw 将信任来自这些 IP 的 x-forwarded-for（或 x-real-ip），以确定用于本地配对检查和 HTTP 认证/本地检查的客户端 IP。
确保你的代理会覆盖 x-forwarded-for，并阻止直接访问 Gateway 网关端口。

参见 Tailscale 和 Web 概览。

通过节点主机进行浏览器控制（推荐）

如果你的 Gateway 网关在远端，但浏览器运行在另一台机器上，请在浏览器机器上运行一个节点主机，
并让 Gateway 网关代理浏览器操作（参见浏览器工具）。
将节点配对视为管理员访问。

推荐模式：

将 Gateway 网关和节点主机保持在同一个 Tailnet（Tailscale）上。
有意配对该节点；如果不需要浏览器代理路由，请将其禁用。

避免：

通过 LAN 或公共互联网暴露中继/控制端口。
对浏览器控制端点使用 Tailscale Funnel（公开暴露）。

磁盘上的密钥

假设 ~/.openclaw/（或 $OPENCLAW_STATE_DIR/）下的任何内容都可能包含密钥或私有数据：

openclaw.json：配置可能包含令牌（Gateway 网关、远程 Gateway 网关）、提供商设置和允许列表。
credentials/**：渠道凭证（示例：WhatsApp 凭证）、配对允许列表、旧版 OAuth 导入。
agents/<agentId>/agent/auth-profiles.json：API 密钥、令牌配置、OAuth 令牌，以及可选的 keyRef/tokenRef。
agents/<agentId>/agent/codex-home/**：每 Agent Codex 应用服务器账号、配置、Skills、插件、原生线程状态和诊断。
secrets.json（可选）：由 file SecretRef 提供商（secrets.providers）使用的文件后端密钥载荷。
agents/<agentId>/agent/auth.json：旧版兼容文件。发现静态 api_key 条目时会清理。
agents/<agentId>/sessions/**：会话转录（*.jsonl）+ 路由元数据（sessions.json），可能包含私密消息和工具输出。
内置插件包：已安装插件（以及它们的 node_modules/）。
sandboxes/**：工具沙箱工作区；可能会累积你在沙箱内读写文件的副本。

加固建议：

保持严格权限（目录 700，文件 600）。
在网关主机上使用全盘加密。
如果主机是共享的，建议为 Gateway 网关使用专用 OS 用户账号。

工作区 `.env` 文件

OpenClaw 会为 Agent 和工具加载工作区本地 .env 文件，但绝不会让这些文件静默覆盖网关运行时控制项。

任何以 OPENCLAW_* 开头的键都会被阻止从不受信任的工作区 .env 文件加载。
Matrix、Mattermost、IRC 和 Synology Chat 的渠道端点设置也会被阻止从工作区 .env 覆盖，因此克隆的工作区无法通过本地端点配置重定向内置连接器流量。端点环境变量键（例如 MATRIX_HOMESERVER、MATTERMOST_URL、IRC_HOST、SYNOLOGY_CHAT_INCOMING_URL）必须来自网关进程环境或 env.shellEnv，而不是来自工作区加载的 .env。
阻止策略是失败关闭：未来版本新增的运行时控制变量不能从已签入或攻击者提供的 .env 继承；该键会被忽略，网关会保持自己的值。
受信任的进程/OS 环境变量（网关自己的 shell、launchd/systemd 单元、应用包）仍然适用 - 这只限制 .env 文件加载。

原因：工作区 .env 文件经常与 Agent 代码放在一起，可能被意外提交，或由工具写入。阻止整个 OPENCLAW_* 前缀意味着以后新增 OPENCLAW_* 标志时，绝不会退化为从工作区状态静默继承。

日志和转录（脱敏和保留）

即使访问控制正确，日志和转录也可能泄露敏感信息：

Gateway 网关日志可能包含工具摘要、错误和 URL。
会话转录可能包含粘贴的密钥、文件内容、命令输出和链接。

建议：

保持日志和转录脱敏开启（logging.redactSensitive: "tools"；默认）。
通过 logging.redactPatterns 为你的环境添加自定义模式（令牌、主机名、内部 URL）。
共享诊断信息时，建议使用 openclaw status --all（可粘贴，密钥已脱敏），而不是原始日志。
如果不需要长期保留，请清理旧会话转录和日志文件。

详情：日志记录

私信：默认配对

{
  channels: { whatsapp: { dmPolicy: "pairing" } },
}

群组：处处要求提及

{
  "channels": {
    "whatsapp": {
      "groups": {
        "*": { "requireMention": true }
      }
    }
  },
  "agents": {
    "list": [
      {
        "id": "main",
        "groupChat": { "mentionPatterns": ["@openclaw", "@mybot"] }
      }
    ]
  }
}

在群聊中，仅在被明确提及时才响应。

单独号码（WhatsApp、Signal、Telegram）

对于基于电话号码的渠道，考虑让你的 AI 使用与你个人号码不同的单独电话号码运行：

个人号码：你的对话保持私密
机器人号码：AI 处理这些对话，并设置适当边界

只读模式（通过沙箱和工具）

你可以通过组合以下配置构建只读配置文件：

agents.defaults.sandbox.workspaceAccess: "ro"（或使用 "none" 表示无工作区访问权限）
阻止 write、edit、apply_patch、exec、process 等的工具允许/拒绝列表。

其他加固选项：

tools.exec.applyPatch.workspaceOnly: true（默认）：确保即使沙箱隔离关闭，apply_patch 也不能在工作区目录之外写入/删除。仅当你有意让 apply_patch 触及工作区之外的文件时，才设置为 false。
tools.fs.workspaceOnly: true（可选）：将 read/write/edit/apply_patch 路径和原生提示图片自动加载路径限制在工作区目录内（如果你当前允许绝对路径，并希望有一个统一的防护栏，这会很有用）。
保持文件系统根目录范围较窄：避免为智能体工作区/沙箱工作区使用像主目录这样的宽泛根目录。宽泛根目录可能会让文件系统工具访问到敏感的本地文件（例如 ~/.openclaw 下的状态/配置）。

安全基线（复制/粘贴）

一个“安全默认”配置：让 Gateway 网关保持私有、要求私信配对，并避免始终在线的群组机器人：

{
  gateway: {
    mode: "local",
    bind: "loopback",
    port: 18789,
    auth: { mode: "token", token: "your-long-random-token" },
  },
  channels: {
    whatsapp: {
      dmPolicy: "pairing",
      groups: { "*": { requireMention: true } },
    },
  },
}

如果你还希望工具执行“默认更安全”，请为任何非所有者智能体添加沙箱，并拒绝危险工具（下面“按智能体的访问配置文件”中有示例）。

聊天驱动的智能体轮次内置基线：非所有者发送者不能使用 cron 或 gateway 工具。

沙箱隔离（推荐）

专用文档：沙箱隔离

两种互补方法：

在 Docker 中运行完整的 Gateway 网关（容器边界）：Docker
工具沙箱（agents.defaults.sandbox，主机 Gateway 网关 + 沙箱隔离工具；Docker 是默认后端）：沙箱隔离

为防止跨智能体访问，请将 agents.defaults.sandbox.scope 保持为 "agent"（默认），或使用 "session" 获得更严格的按会话隔离。scope: "shared" 使用单个容器或工作区。

还需要考虑沙箱内的智能体工作区访问：

agents.defaults.sandbox.workspaceAccess: "none"（默认）让智能体工作区不可访问；工具针对 ~/.openclaw/sandboxes 下的沙箱工作区运行
agents.defaults.sandbox.workspaceAccess: "ro" 以只读方式将智能体工作区挂载到 /agent（禁用 write/edit/apply_patch）
agents.defaults.sandbox.workspaceAccess: "rw" 以读写方式将智能体工作区挂载到 /workspace
额外的 sandbox.docker.binds 会根据规范化和标准化后的源路径进行验证。如果父级符号链接技巧和标准主目录别名解析到被阻止的根目录，例如 /etc、/var/run，或操作系统主目录下的凭据目录，仍会默认拒绝。

tools.elevated 是全局基线逃生口，会在沙箱之外运行 exec。有效主机默认是 gateway，或者当 exec 目标配置为 node 时是 node。请严格限制 tools.elevated.allowFrom，不要为陌生人启用它。你还可以通过 agents.list[].tools.elevated 按智能体进一步限制 elevated。参见 Elevated 模式。

子智能体委派防护栏

如果你允许会话工具，请将委派的子智能体运行视为另一个边界决策：

除非智能体确实需要委派，否则拒绝 sessions_spawn。
将 agents.defaults.subagents.allowAgents 和任何按智能体的 agents.list[].subagents.allowAgents 覆盖限制为已知安全的目标智能体。
对于任何必须保持沙箱隔离的工作流，调用 sessions_spawn 时使用 sandbox: "require"（默认是 inherit）。
当目标子运行时未进行沙箱隔离时，sandbox: "require" 会快速失败。

浏览器控制风险

启用浏览器控制会让模型具备驱动真实浏览器的能力。
如果该浏览器配置文件已包含登录会话，模型可以访问这些账号和数据。
请将浏览器配置文件视为敏感状态：

优先为智能体使用专用配置文件（默认的 openclaw 配置文件）。
避免将智能体指向你的个人日常使用配置文件。
除非你信任沙箱隔离智能体，否则保持主机浏览器控制禁用。
独立的 loopback 浏览器控制 API 仅接受共享密钥认证（Gateway 网关 token bearer auth 或 Gateway 网关密码）。它不会使用 trusted-proxy 或 Tailscale Serve 身份标头。
将浏览器下载视为不可信输入；优先使用隔离的下载目录。
如果可能，在智能体配置文件中禁用浏览器同步/密码管理器（降低影响范围）。
对于远程 Gateway 网关，假设“浏览器控制”等同于对该配置文件可访问内容的“操作者访问”。
将 Gateway 网关和 node 主机保持为仅 tailnet 可访问；避免将浏览器控制端口暴露给 LAN 或公共互联网。
不需要浏览器代理路由时将其禁用（gateway.nodes.browser.mode="off"）。
Chrome MCP 现有会话模式并不“更安全”；它可以以你的身份操作该主机 Chrome 配置文件可访问的任何内容。

浏览器 SSRF 策略（默认严格）

OpenClaw 的浏览器导航策略默认严格：除非你明确选择加入，否则私有/内部目标会保持阻止。

默认：browser.ssrfPolicy.dangerouslyAllowPrivateNetwork 未设置，因此浏览器导航会继续阻止私有/内部/特殊用途目标。
旧版别名：browser.ssrfPolicy.allowPrivateNetwork 仍会被接受以保持兼容。
选择加入模式：设置 browser.ssrfPolicy.dangerouslyAllowPrivateNetwork: true 以允许私有/内部/特殊用途目标。
在严格模式下，使用 hostnameAllowlist（如 *.example.com 这样的模式）和 allowedHostnames（精确主机例外，包括像 localhost 这样的被阻止名称）来设置明确例外。
导航会在请求前检查，并在导航后的最终 http(s) URL 上尽力重新检查，以减少基于重定向的跳转。

严格策略示例：

{
  browser: {
    ssrfPolicy: {
      dangerouslyAllowPrivateNetwork: false,
      hostnameAllowlist: ["*.example.com", "example.com"],
      allowedHostnames: ["localhost"],
    },
  },
}

按智能体的访问配置文件（多智能体）

通过多智能体路由，每个智能体都可以拥有自己的沙箱 + 工具策略：
用它为每个智能体提供完全访问、只读或无访问。
完整详情和优先级规则请参见多 Agent 沙盒和工具。

常见用例：

个人智能体：完全访问，无沙箱
家庭/工作智能体：沙箱隔离 + 只读工具
公共智能体：沙箱隔离 + 无文件系统/shell 工具

示例：完全访问（无沙箱）

{
  agents: {
    list: [
      {
        id: "personal",
        workspace: "~/.openclaw/workspace-personal",
        sandbox: { mode: "off" },
      },
    ],
  },
}

示例：只读工具 + 只读工作区

{
  agents: {
    list: [
      {
        id: "family",
        workspace: "~/.openclaw/workspace-family",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "ro",
        },
        tools: {
          allow: ["read"],
          deny: ["write", "edit", "apply_patch", "exec", "process", "browser"],
        },
      },
    ],
  },
}

示例：无文件系统/shell 访问（允许提供商消息）

{
  agents: {
    list: [
      {
        id: "public",
        workspace: "~/.openclaw/workspace-public",
        sandbox: {
          mode: "all",
          scope: "agent",
          workspaceAccess: "none",
        },
        // Session tools can reveal sensitive data from transcripts. By default OpenClaw limits these tools
        // to the current session + spawned subagent sessions, but you can clamp further if needed.
        // See `tools.sessions.visibility` in the configuration reference.
        tools: {
          sessions: { visibility: "tree" }, // self | tree | agent | all
          allow: [
            "sessions_list",
            "sessions_history",
            "sessions_send",
            "sessions_spawn",
            "session_status",
            "whatsapp",
            "telegram",
            "slack",
            "discord",
          ],
          deny: [
            "read",
            "write",
            "edit",
            "apply_patch",
            "exec",
            "process",
            "browser",
            "canvas",
            "nodes",
            "cron",
            "gateway",
            "image",
          ],
        },
      },
    ],
  },
}

事件响应

如果你的 AI 做了不当操作：

遏制

停止它： 停止 macOS app（如果它监管 Gateway 网关）或终止你的 openclaw gateway 进程。
关闭暴露面： 设置 gateway.bind: "loopback"（或禁用 Tailscale Funnel/Serve），直到你了解发生了什么。
冻结访问： 将有风险的私信/群组切换到 dmPolicy: "disabled" / 要求提及，并移除你设置过的 "*" 全部允许条目。

轮换（如果密钥泄露，假设已被攻陷）

轮换 Gateway 网关认证（gateway.auth.token / OPENCLAW_GATEWAY_PASSWORD）并重启。
在任何可以调用 Gateway 网关的机器上轮换远程客户端密钥（gateway.remote.token / .password）。
轮换提供商/API 凭据（WhatsApp 凭据、Slack/Discord token、auth-profiles.json 中的模型/API 密钥，以及使用时的加密 secrets payload 值）。

审计

检查 Gateway 网关日志：/tmp/openclaw/openclaw-YYYY-MM-DD.log（或 logging.file）。
查看相关 transcript：~/.openclaw/agents/<agentId>/sessions/*.jsonl。
查看近期配置变更（任何可能扩大访问范围的内容：gateway.bind、gateway.auth、私信/群组策略、tools.elevated、插件变更）。
重新运行 openclaw security audit --deep，并确认严重发现已解决。

收集报告材料

时间戳、Gateway 网关主机操作系统 + OpenClaw 版本
会话 transcript + 简短日志尾部（脱敏后）
攻击者发送了什么 + 智能体做了什么
Gateway 网关是否暴露到 loopback 之外（LAN/Tailscale Funnel/Serve）

密钥扫描

CI 会在仓库上运行 pre-commit detect-private-key hook。如果它
失败，请移除或轮换已提交的密钥材料，然后在本地复现：

pre-commit run --all-files detect-private-key

报告安全问题

在 OpenClaw 中发现漏洞？请负责任地报告：

Email：security@openclaw.ai
修复前不要公开发布
我们会致谢你（除非你希望匿名）

📄 沙箱隔离

原文：https://docs.openclaw.ai/zh-CN/gateway/sandboxing

OpenClaw 可以在沙箱后端内运行工具以降低影响范围。这是可选的，并由配置控制（agents.defaults.sandbox 或 agents.list[].sandbox）。如果沙箱隔离关闭，工具会在主机上运行。Gateway 网关保留在主机上；启用后，工具执行会在隔离的沙箱中运行。

这不是完美的安全边界，但当模型做出不当操作时，它会实质性限制文件系统和进程访问。

哪些内容会被沙箱隔离

工具执行（exec、read、write、edit、apply_patch、process 等）。
可选的沙箱隔离浏览器（agents.defaults.sandbox.browser）。

- 默认情况下，当浏览器工具需要时，沙箱浏览器会自动启动（确保 CDP 可访问）。通过 agents.defaults.sandbox.browser.autoStart 和 agents.defaults.sandbox.browser.autoStartTimeoutMs 配置。
- 默认情况下，沙箱浏览器容器使用专用 Docker 网络（openclaw-sandbox-browser），而不是全局 bridge 网络。通过 agents.defaults.sandbox.browser.network 配置。
- 可选的 agents.defaults.sandbox.browser.cdpSourceRange 使用 CIDR 允许列表限制容器边缘的 CDP 入口（例如 172.21.0.1/32）。
- noVNC 观察者访问默认受密码保护；OpenClaw 会生成一个短期有效的令牌 URL，该 URL 提供本地引导页面，并使用 URL 片段中的密码打开 noVNC（不会进入查询参数/标头日志）。
- agents.defaults.sandbox.browser.allowHostControl 允许沙箱隔离会话显式定向到主机浏览器。
- 可选允许列表会限制 target: "custom"：allowedControlUrls、allowedControlHosts、allowedControlPorts。

不会被沙箱隔离：

Gateway 网关进程本身。
任何被显式允许在沙箱外运行的工具（例如 tools.elevated）。
提升的 exec 会绕过沙箱隔离，并使用配置的逃逸路径（默认是 gateway；当 exec 目标是 node 时为 node）。
如果沙箱隔离关闭，tools.elevated 不会改变执行方式（已经在主机上）。参见提升模式。

模式

agents.defaults.sandbox.mode 控制沙箱隔离何时使用：

无沙箱隔离。

仅沙箱隔离非主会话（如果你希望普通聊天在主机上运行，这是默认选择）。

`"non-main"` 基于 `session.mainKey`（默认 `"main"`），而不是智能体 ID。群组/渠道会话使用自己的键，因此它们会被视为非主会话并被沙箱隔离。

每个会话都在沙箱中运行。

范围

agents.defaults.sandbox.scope 控制会创建多少个容器：

"agent"（默认）：每个智能体一个容器。
"session"：每个会话一个容器。
"shared"：所有沙箱隔离会话共享一个容器。

后端

agents.defaults.sandbox.backend 控制由哪个运行时提供沙箱：

"docker"（启用沙箱隔离时的默认值）：本地 Docker 支持的沙箱运行时。
"ssh"：通用 SSH 支持的远程沙箱运行时。
"openshell"：OpenShell 支持的沙箱运行时。

SSH 专用配置位于 agents.defaults.sandbox.ssh 下。OpenShell 专用配置位于 plugins.entries.openshell.config 下。

选择后端

	Docker	SSH	OpenShell
运行位置	本地容器	任何可通过 SSH 访问的主机	OpenShell 托管沙箱
设置	`scripts/sandbox-setup.sh`	SSH 密钥 + 目标主机	已启用 OpenShell 插件
工作区模型	绑定挂载或复制	远程规范（播种一次）	`mirror` 或 `remote`
网络控制	`docker.network`（默认：无）	取决于远程主机	取决于 OpenShell
浏览器沙箱	支持	不支持	尚不支持
绑定挂载	`docker.binds`	N/A	N/A
最适合	本地开发、完整隔离	卸载到远程机器	可选双向同步的托管远程沙箱

Docker 后端

沙箱隔离默认关闭。如果你启用沙箱隔离且没有选择后端，OpenClaw 会使用 Docker 后端。它通过 Docker 守护进程套接字（/var/run/docker.sock）在本地执行工具和沙箱浏览器。沙箱容器隔离由 Docker 命名空间决定。

要将主机 GPU 暴露给 Docker 沙箱，请设置 agents.defaults.sandbox.docker.gpus 或每个智能体的 agents.list[].sandbox.docker.gpus 覆盖项。该值会作为单独参数传递给 Docker 的 --gpus 标志，例如 "all" 或 "device=GPU-uuid"，并且需要兼容的主机运行时，例如 NVIDIA Container Toolkit。

Docker-out-of-Docker (DooD) 约束

如果你将 OpenClaw Gateway 网关本身部署为 Docker 容器，它会使用主机的 Docker 套接字编排同级沙箱容器（DooD）。这会引入特定的路径映射约束：

配置需要主机路径：openclaw.json 的 workspace 配置必须包含主机的绝对路径（例如 /home/user/.openclaw/workspaces），而不是 Gateway 网关容器内部路径。当 OpenClaw 请求 Docker 守护进程创建沙箱时，守护进程会相对于主机操作系统命名空间评估路径，而不是 Gateway 网关命名空间。
FS 桥接一致性（相同的卷映射）：OpenClaw Gateway 网关原生进程也会将 heartbeat 和桥接文件写入 workspace 目录。由于 Gateway 网关会在自身容器化环境内评估完全相同的字符串（主机路径），Gateway 网关部署必须包含相同的卷映射，以原生方式链接主机命名空间（-v /home/user/.openclaw:/home/user/.openclaw）。
Codex 代码模式：当 OpenClaw 沙箱处于活动状态时，即使 Codex 插件默认值是 danger-full-access，OpenClaw 也会将 Codex 应用服务器轮次限制为 Codex workspace-write 沙箱隔离。不要将主机 Docker 套接字挂载到智能体沙箱容器或自定义 Codex 沙箱中。

如果你在没有绝对主机路径一致性的情况下映射内部路径，OpenClaw 会原生抛出 EACCES 权限错误，表示尝试在容器环境内写入 heartbeat 失败，因为完全限定的路径字符串在原生环境中不存在。

SSH 后端

当你希望 OpenClaw 在任意可通过 SSH 访问的机器上沙箱隔离 exec、文件工具和媒体读取时，请使用 backend: "ssh"。

{
  agents: {
    defaults: {
      sandbox: {
        mode: "all",
        backend: "ssh",
        scope: "session",
        workspaceAccess: "rw",
        ssh: {
          target: "user@gateway-host:22",
          workspaceRoot: "/tmp/openclaw-sandboxes",
          strictHostKeyChecking: true,
          updateHostKeys: true,
          identityFile: "~/.ssh/id_ed25519",
          certificateFile: "~/.ssh/id_ed25519-cert.pub",
          knownHostsFile: "~/.ssh/known_hosts",
          // Or use SecretRefs / inline contents instead of local files:
          // identityData: { source: "env", provider: "default", id: "SSH_IDENTITY" },
          // certificateData: { source: "env", provider: "default", id: "SSH_CERTIFICATE" },
          // knownHostsData: { source: "env", provider: "default", id: "SSH_KNOWN_HOSTS" },
        },
      },
    },
  },
}

- OpenClaw 会在 sandbox.ssh.workspaceRoot 下创建按范围划分的远程根目录。
- 创建或重新创建后首次使用时，OpenClaw 会从本地工作区向该远程工作区播种一次。
- 之后，exec、read、write、edit、apply_patch、提示媒体读取和入站媒体暂存都会通过 SSH 直接针对远程工作区运行。
- OpenClaw 不会自动将远程更改同步回本地工作区。

- identityFile、certificateFile、knownHostsFile：使用现有本地文件，并通过 OpenSSH 配置传递它们。
- identityData、certificateData、knownHostsData：使用内联字符串或 SecretRefs。OpenClaw 会通过正常的密钥运行时快照解析它们，将它们写入权限为 0600 的临时文件，并在 SSH 会话结束时删除它们。
- 如果同一项同时设置了 *File 和 *Data，该 SSH 会话中 *Data 优先生效。

这是一个远程规范模型。初始播种后，远程 SSH 工作区会成为真正的沙箱状态。

- 播种步骤之后在 OpenClaw 外部进行的主机本地编辑，在重新创建沙箱之前不会在远程可见。
- `openclaw sandbox recreate` 会删除按范围划分的远程根目录，并在下次使用时从本地重新播种。
- SSH 后端不支持浏览器沙箱隔离。
- `sandbox.docker.*` 设置不适用于 SSH 后端。

OpenShell 后端

当你希望 OpenClaw 在 OpenShell 托管的远程环境中沙箱隔离工具时，请使用 backend: "openshell"。完整设置指南、配置参考和工作区模式比较，请参见专门的 OpenShell 页面。

OpenShell 复用与通用 SSH 后端相同的核心 SSH 传输和远程文件系统桥接，并添加 OpenShell 专用生命周期（sandbox create/get/delete、sandbox ssh-config）以及可选的 mirror 工作区模式。

{
  agents: {
    defaults: {
      sandbox: {
        mode: "all",
        backend: "openshell",
        scope: "session",
        workspaceAccess: "rw",
      },
    },
  },
  plugins: {
    entries: {
      openshell: {
        enabled: true,
        config: {
          from: "openclaw",
          mode: "remote", // mirror | remote
          remoteWorkspaceDir: "/sandbox",
          remoteAgentWorkspaceDir: "/agent",
        },
      },
    },
  },
}

OpenShell 模式：

mirror（默认）：本地工作区保持规范状态。OpenClaw 会在 exec 前将本地文件同步到 OpenShell，并在 exec 后将远程工作区同步回来。
remote：沙箱创建后，OpenShell 工作区是规范状态。OpenClaw 会从本地工作区向远程工作区播种一次，然后文件工具和 exec 会直接针对远程沙箱运行，不会同步更改回来。

- OpenClaw 会通过 openshell sandbox ssh-config <name> 向 OpenShell 请求沙箱专用 SSH 配置。
- Core 会将该 SSH 配置写入临时文件，打开 SSH 会话，并复用 backend: "ssh" 使用的同一远程文件系统桥接。
- 仅在 mirror 模式下生命周期不同：exec 前将本地同步到远程，然后 exec 后同步回来。

- 尚不支持沙箱浏览器
- OpenShell 后端不支持 sandbox.docker.binds
- sandbox.docker.* 下的 Docker 专用运行时旋钮仍然仅适用于 Docker 后端

工作区模式

OpenShell 有两种工作区模型。这是在实践中最重要的部分。

当你希望本地工作区保持规范状态时，请使用 plugins.entries.openshell.config.mode: "mirror"。

行为：

- 在 `exec` 之前，OpenClaw 会将本地工作区同步到 OpenShell 沙箱中。
- 在 `exec` 之后，OpenClaw 会将远程工作区同步回本地工作区。
- 文件工具仍通过沙箱桥接运行，但在多个轮次之间，本地工作区仍是事实来源。

在以下情况使用此模式：

- 你在 OpenClaw 之外本地编辑文件，并希望这些更改自动出现在沙箱中
- 你希望 OpenShell 沙箱的行为尽可能接近 Docker 后端
- 你希望每个 exec 轮次后，宿主机工作区反映沙箱写入内容

权衡：exec 前后会产生额外的同步成本。

当你希望 OpenShell 工作区成为规范来源时，使用 plugins.entries.openshell.config.mode: "remote"。

行为：

- 首次创建沙箱时，OpenClaw 会从本地工作区将远程工作区初始化一次。
- 之后，`exec`、`read`、`write`、`edit` 和 `apply_patch` 会直接作用于远程 OpenShell 工作区。
- OpenClaw 在 exec 后**不会**将远程更改同步回本地工作区。
- 提示词期间的媒体读取仍可工作，因为文件和媒体工具会通过沙箱桥接读取，而不是假定存在本地宿主机路径。
- 传输方式是通过 `openshell sandbox ssh-config` 返回的 SSH 配置连接到 OpenShell 沙箱。

重要后果：

- 如果你在初始化步骤后，在 OpenClaw 之外的宿主机上编辑文件，远程沙箱**不会**自动看到这些更改。
- 如果沙箱被重新创建，远程工作区会再次从本地工作区初始化。
- 使用 `scope: "agent"` 或 `scope: "shared"` 时，该远程工作区会在同一作用域内共享。

在以下情况使用此模式：

- 沙箱应主要位于远程 OpenShell 端
- 你希望降低每轮次同步开销
- 你不希望宿主机本地编辑内容悄悄覆盖远程沙箱状态

如果你把沙箱视为临时执行环境，请选择 mirror。如果你把沙箱视为真正的工作区，请选择 remote。

OpenShell 生命周期

OpenShell 沙箱仍通过常规沙箱生命周期管理：

openclaw sandbox list 会显示 OpenShell 运行时以及 Docker 运行时
openclaw sandbox recreate 会删除当前运行时，并让 OpenClaw 在下次使用时重新创建它
清理逻辑也能感知后端

对于 remote 模式，重新创建尤其重要：

重新创建会删除该作用域的规范远程工作区
下次使用会从本地工作区初始化一个新的远程工作区

对于 mirror 模式，重新创建主要是重置远程执行环境，因为本地工作区始终仍是规范来源。

工作区访问

agents.defaults.sandbox.workspaceAccess 控制沙箱可以看到什么：

工具会看到 ~/.openclaw/sandboxes 下的沙箱工作区。

以只读方式将 Agent 工作区挂载到 /agent（禁用 write/edit/apply_patch）。

以读写方式将 Agent 工作区挂载到 /workspace。

使用 OpenShell 后端时：

mirror 模式仍在 exec 轮次之间使用本地工作区作为规范来源
remote 模式在初始初始化后使用远程 OpenShell 工作区作为规范来源
workspaceAccess: "ro" 和 "none" 仍以相同方式限制写入行为

入站媒体会被复制到活动沙箱工作区（media/inbound/*）。

Skills 注意事项：read 工具以沙箱根目录为基准。使用 workspaceAccess: "none" 时，OpenClaw 会将符合条件的 Skills 镜像到沙箱工作区（.../skills），以便读取。使用 "rw" 时，可以从 /workspace/skills 读取工作区 Skills。

自定义绑定挂载

agents.defaults.sandbox.docker.binds 会将额外的宿主机目录挂载到容器中。格式：host:container:mode（例如 "/home/user/source:/source:rw"）。

全局绑定和单 Agent 绑定会被合并（而不是替换）。在 scope: "shared" 下，单 Agent 绑定会被忽略。

agents.defaults.sandbox.browser.binds 仅会将额外的宿主机目录挂载到沙箱浏览器容器中。

设置后（包括 []），它会替换浏览器容器的 agents.defaults.sandbox.docker.binds。
省略时，浏览器容器会回退到 agents.defaults.sandbox.docker.binds（向后兼容）。

{
  agents: {
    defaults: {
      sandbox: {
        docker: {
          binds: ["/home/user/source:/source:ro", "/var/data/myapp:/data:ro"],
        },
      },
    },
    list: [
      {
        id: "build",
        sandbox: {
          docker: {
            binds: ["/mnt/cache:/cache:rw"],
          },
        },
      },
    ],
  },
}

绑定安全

绑定会绕过沙箱文件系统：它们会按你设置的模式（:ro 或 :rw）暴露宿主机路径。
OpenClaw 会阻止危险的绑定源（例如 docker.sock、/etc、/proc、/sys、/dev，以及会暴露它们的父级挂载）。
OpenClaw 还会阻止常见的主目录凭证根目录，例如 ~/.aws、~/.cargo、~/.config、~/.docker、~/.gnupg、~/.netrc、~/.npm 和 ~/.ssh。
绑定验证不只是字符串匹配。OpenClaw 会规范化源路径，然后通过最深的现有祖先再次解析它，再重新检查被阻止的路径和允许的根目录。
这意味着，即使最终叶子节点尚不存在，符号链接父级逃逸仍会失败关闭。示例：如果 run-link 指向那里，/workspace/run-link/new-file 仍会解析为 /var/run/...。
允许的源根目录也会以相同方式规范化，因此在解析符号链接之前看起来位于允许列表内的路径，仍会被拒绝为 outside allowed roots。
敏感挂载（密钥、SSH 密钥、服务凭证）应使用 :ro，除非绝对需要。
如果你只需要对工作区的读取权限，请与 workspaceAccess: "ro" 组合使用；绑定模式保持独立。
请参阅沙箱与工具策略与提升权限，了解绑定如何与工具策略和提升权限 exec 交互。

镜像和设置

默认 Docker 镜像：openclaw-sandbox:bookworm-slim

源代码检出与 npm 安装

scripts/sandbox-setup.sh、scripts/sandbox-common-setup.sh 和 scripts/sandbox-browser-setup.sh 辅助脚本仅在从源代码检出运行时可用。它们不包含在 npm 包中。

如果你通过 npm install -g openclaw 安装了 OpenClaw，请改用下面展示的内联 docker build 命令。

从源代码检出运行：

```bash
scripts/sandbox-setup.sh
```

从 npm 安装运行（无需源代码检出）：

```bash
docker build -t openclaw-sandbox:bookworm-slim - <<'DOCKERFILE'
FROM debian:bookworm-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && apt-get install -y --no-install-recommends \
  bash ca-certificates curl git jq python3 ripgrep \
  && rm -rf /var/lib/apt/lists/*
RUN useradd --create-home --shell /bin/bash sandbox
USER sandbox
WORKDIR /home/sandbox
CMD ["sleep", "infinity"]
DOCKERFILE
```

默认镜像**不**包含 Node。如果某个 Skill 需要 Node（或其他运行时），请烘焙自定义镜像，或通过 `sandbox.docker.setupCommand` 安装（需要网络出站 + 可写根目录 + root 用户）。

当缺少 `openclaw-sandbox:bookworm-slim` 时，OpenClaw 不会静默替换为普通的 `debian:bookworm-slim`。以默认镜像为目标的沙箱运行会快速失败并给出构建说明，直到你构建它为止，因为内置镜像携带了供沙箱写入/编辑辅助工具使用的 `python3`。

如需带有常用工具（例如 curl、jq、nodejs、python3、git）且功能更完整的沙箱镜像：

从源代码检出运行：

```bash
scripts/sandbox-common-setup.sh
```

从 npm 安装运行时，先构建默认镜像（见上文），然后使用仓库中的 [`scripts/docker/sandbox/Dockerfile.common`](https://github.com/openclaw/openclaw/blob/main/scripts/docker/sandbox/Dockerfile.common) 在其基础上构建通用镜像。

然后将 `agents.defaults.sandbox.docker.image` 设置为 `openclaw-sandbox-common:bookworm-slim`。

从源代码检出运行：

```bash
scripts/sandbox-browser-setup.sh
```

从 npm 安装运行时，使用仓库中的 [`scripts/docker/sandbox/Dockerfile.browser`](https://github.com/openclaw/openclaw/blob/main/scripts/docker/sandbox/Dockerfile.browser) 构建。

默认情况下，Docker 沙箱容器在无网络状态下运行。可用 agents.defaults.sandbox.docker.network 覆盖。

内置沙箱浏览器镜像还会为容器化工作负载应用保守的 Chromium 启动默认值。当前容器默认值包括：

- `--remote-debugging-address=127.0.0.1`
- `--remote-debugging-port=<derived from OPENCLAW_BROWSER_CDP_PORT>`
- `--user-data-dir=${HOME}/.chrome`
- `--no-first-run`
- `--no-default-browser-check`
- `--disable-3d-apis`
- `--disable-gpu`
- `--disable-dev-shm-usage`
- `--disable-background-networking`
- `--disable-extensions`
- `--disable-features=TranslateUI`
- `--disable-breakpad`
- `--disable-crash-reporter`
- `--disable-software-rasterizer`
- `--no-zygote`
- `--metrics-recording-only`
- `--renderer-process-limit=2`
- 启用 `noSandbox` 时使用 `--no-sandbox`。
- 三个图形加固标志（`--disable-3d-apis`、`--disable-software-rasterizer`、`--disable-gpu`）是可选的，在容器缺少 GPU 支持时很有用。如果你的工作负载需要 WebGL 或其他 3D/浏览器功能，请设置 `OPENCLAW_BROWSER_DISABLE_GRAPHICS_FLAGS=0`。
- 默认启用 `--disable-extensions`，对于依赖扩展的流程，可以用 `OPENCLAW_BROWSER_DISABLE_EXTENSIONS=0` 禁用它。
- `--renderer-process-limit=2` 由 `OPENCLAW_BROWSER_RENDERER_PROCESS_LIMIT=<N>` 控制，其中 `0` 会保留 Chromium 的默认值。

如果你需要不同的运行时配置文件，请使用自定义浏览器镜像并提供自己的入口点。对于本地（非容器）Chromium 配置文件，请使用 `browser.extraArgs` 追加额外启动标志。

- network: "host" 会被阻止。
- network: "container:<id>" 默认会被阻止（存在命名空间加入绕过风险）。
- 应急覆盖：agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin: true。

Docker 安装和容器化 Gateway 网关位于这里：Docker

对于 Docker Gateway 网关部署，scripts/docker/setup.sh 可以引导沙箱配置。设置 OPENCLAW_SANDBOX=1（或 true/yes/on）以启用该路径。你可以用 OPENCLAW_DOCKER_SOCKET 覆盖套接字位置。完整设置和环境参考：Docker。

setupCommand（一次性容器设置）

setupCommand 会在沙箱容器创建后运行一次（不是每次运行都执行）。它通过 sh -lc 在容器内执行。

路径：

全局：agents.defaults.sandbox.docker.setupCommand
单 Agent：agents.list[].sandbox.docker.setupCommand

- 默认 docker.network 是 "none"（无出站流量），因此包安装会失败。
- docker.network: "container:<id>" 需要 dangerouslyAllowContainerNamespaceJoin: true，且仅用于紧急破例场景。
- readOnlyRoot: true 会阻止写入；请设置 readOnlyRoot: false 或构建自定义镜像。
- 包安装需要 user 为 root（省略 user 或设置 user: "0:0"）。
- 沙箱 exec 不会继承主机 process.env。请使用 agents.defaults.sandbox.docker.env（或自定义镜像）来配置技能 API key。

工具策略和逃生通道

工具允许/拒绝策略仍会先于沙箱规则生效。如果某个工具被全局或按智能体拒绝，沙箱隔离不会把它恢复回来。

tools.elevated 是一个显式逃生通道，会在沙箱外运行 exec（默认在 gateway 中，或当 exec 目标为 node 时在 node 中）。/exec 指令仅适用于已授权的发送方，并按会话持久化；要硬性禁用 exec，请使用工具策略拒绝（参见沙箱 vs 工具策略 vs Elevated）。

调试：

使用 openclaw sandbox explain 检查实际生效的沙箱模式、工具策略以及修复用配置键。
参见沙箱 vs 工具策略 vs Elevated，了解“为什么这被阻止了？”的思维模型。

保持锁定状态。

多 Agent 覆盖项

每个智能体都可以覆盖沙箱 + 工具：agents.list[].sandbox 和 agents.list[].tools（以及用于沙箱工具策略的 agents.list[].tools.sandbox.tools）。优先级见多 Agent 沙盒和工具。

最小启用示例

{
  agents: {
    defaults: {
      sandbox: {
        mode: "non-main",
        scope: "session",
        workspaceAccess: "none",
      },
    },
  },
}

📄 沙箱、工具策略与提权

原文：https://docs.openclaw.ai/zh-CN/gateway/sandbox-vs-tool-policy-vs-elevated

OpenClaw 有三个相关（但不同）的控制项：

沙箱（agents.defaults.sandbox.* / agents.list[].sandbox.*）决定工具在哪里运行（沙箱后端或主机）。
工具策略（tools.*、tools.sandbox.tools.*、agents.list[].tools.*）决定哪些工具可用/被允许。
提权（tools.elevated.*、agents.list[].tools.elevated.*）是一个仅限 exec 的逃逸通道，用于在你处于沙箱隔离时在沙箱外运行（默认是 gateway，或者当 exec 目标配置为 node 时是 node）。

快速调试

使用检查器查看 OpenClaw 实际在做什么：

openclaw sandbox explain
openclaw sandbox explain --session agent:main:main
openclaw sandbox explain --agent work
openclaw sandbox explain --json

它会打印：

有效的沙箱模式/作用域/工作区访问
会话当前是否处于沙箱隔离（main 与非 main）
有效的沙箱工具允许/拒绝规则（以及它来自智能体/全局/默认）
提权门控和修复键路径

沙箱：工具在哪里运行

沙箱隔离由 agents.defaults.sandbox.mode 控制：

"off"：所有内容都在主机上运行。
"non-main"：只有非 main 会话会被沙箱隔离（群组/渠道中常见的“意外”情况）。
"all"：所有内容都被沙箱隔离。

完整矩阵（作用域、工作区挂载、镜像）请参见沙箱隔离。

绑定挂载（安全快速检查）

docker.binds 会_刺穿_沙箱文件系统：无论你挂载什么，都会以你设置的模式（:ro 或 :rw）在容器内可见。
如果省略模式，默认是读写；对于源代码/密钥，优先使用 :ro。
scope: "shared" 会忽略每个智能体的绑定（只应用全局绑定）。
OpenClaw 会验证绑定源两次：先验证规范化后的源路径，然后在通过最深的现有祖先解析后再次验证。符号链接父级逃逸无法绕过被阻止路径或允许根目录检查。
不存在的叶子路径仍会被安全检查。如果 /workspace/alias-out/new-file 通过符号链接父目录解析到被阻止路径或配置的允许根目录之外，该绑定会被拒绝。
绑定 /var/run/docker.sock 实际上会把主机控制权交给沙箱；只应在有意这样做时使用。
工作区访问（workspaceAccess: "ro"/"rw"）独立于绑定模式。

工具策略：哪些工具存在/可调用

有两层很重要：

工具配置文件：tools.profile 和 agents.list[].tools.profile（基础允许列表）
提供商工具配置文件：tools.byProvider[provider].profile 和 agents.list[].tools.byProvider[provider].profile
全局/每智能体工具策略：tools.allow/tools.deny 和 agents.list[].tools.allow/agents.list[].tools.deny
提供商工具策略：tools.byProvider[provider].allow/deny 和 agents.list[].tools.byProvider[provider].allow/deny
沙箱工具策略（仅在沙箱隔离时适用）：tools.sandbox.tools.allow/tools.sandbox.tools.deny 和 agents.list[].tools.sandbox.tools.*

经验法则：

deny 始终优先。
如果 allow 非空，其他所有内容都会被视为阻止。
工具策略是硬性停止点：/exec 不能覆盖被拒绝的 exec 工具。
工具策略按名称过滤工具可用性；它不会检查 exec 内部的副作用。如果允许 exec，拒绝 write、edit 或 apply_patch 不会让 shell 命令变成只读。
/exec 只会为已授权发送者更改会话默认值；它不会授予工具访问权限。
提供商工具键既可以接受 provider（例如 google-antigravity），也可以接受 provider/model（例如 openai/gpt-5.4）。

工具组（简写）

工具策略（全局、智能体、沙箱）支持 group:* 条目，它们会展开为多个工具：

{
  tools: {
    sandbox: {
      tools: {
        allow: ["group:runtime", "group:fs", "group:sessions", "group:memory"],
      },
    },
  },
}

可用组：

group:runtime：exec、process、code_execution（bash 被接受为
exec 的别名）
group:fs：read、write、edit、apply_patch
对于只读智能体，除非沙箱文件系统策略或单独的主机边界强制执行只读约束，否则也要拒绝 group:runtime 以及会更改文件系统的工具。
group:sessions：sessions_list、sessions_history、sessions_send、sessions_spawn、sessions_yield、subagents、session_status
group:memory：memory_search、memory_get
group:web：web_search、x_search、web_fetch
group:ui：browser、canvas
group:automation：heartbeat_respond、cron、gateway
group:messaging：message
group:nodes：nodes
group:agents：agents_list、update_plan
group:media：image、image_generate、music_generate、video_generate、tts
group:openclaw：所有内置 OpenClaw 工具（不包括提供商插件）

提权：仅限 exec 的“在主机上运行”

提权不会授予额外工具；它只影响 exec。

如果你处于沙箱隔离，/elevated on（或带有 elevated: true 的 exec）会在沙箱外运行（批准仍可能适用）。
使用 /elevated full 可以跳过该会话的 exec 批准。
如果你已经在直接运行，提权实际上不会产生效果（仍受门控）。
提权不是按 Skills 作用域限定的，也不会覆盖工具允许/拒绝规则。
提权不会从 host=auto 授予任意跨主机覆盖；它遵循正常的 exec 目标规则，并且仅当已配置/会话目标已经是 node 时才保留 node。
/exec 与提权是分开的。它只会为已授权发送者调整每会话 exec 默认值。

门控：

启用：tools.elevated.enabled（以及可选的 agents.list[].tools.elevated.enabled）
发送者允许列表：tools.elevated.allowFrom.<provider>（以及可选的 agents.list[].tools.elevated.allowFrom.<provider>）

参见提权模式。

常见“沙箱监狱”修复

“工具 X 被沙箱工具策略阻止”

修复键（任选一个）：

禁用沙箱：agents.defaults.sandbox.mode=off（或每智能体 agents.list[].sandbox.mode=off）
允许该工具在沙箱内使用：
将它从 tools.sandbox.tools.deny 中移除（或每智能体 agents.list[].tools.sandbox.tools.deny）
或将它添加到 tools.sandbox.tools.allow（或每智能体允许列表）

“我以为这是 main，为什么它被沙箱隔离了？”

在 "non-main" 模式下，群组/渠道键_不是_ main。使用 main 会话键（由 sandbox explain 显示），或将模式切换为 "off"。

📄 Gateway 网关协议

原文：https://docs.openclaw.ai/zh-CN/gateway/protocol

Gateway 网关 WS 协议是 OpenClaw 的单一控制平面 + 节点传输协议。所有客户端（CLI、Web UI、macOS 应用、iOS/Android 节点、无头节点）都通过 WebSocket 连接，并在握手时声明它们的角色 + 作用域。

传输

WebSocket，使用带 JSON 载荷的文本帧。
第一帧必须是 connect 请求。
连接前帧大小上限为 64 KiB。握手成功后，客户端应遵循 hello-ok.policy.maxPayload 和 hello-ok.policy.maxBufferedBytes 限制。启用诊断后，过大的入站帧和缓慢的出站缓冲区会在 Gateway 网关关闭或丢弃受影响帧之前发出 payload.large 事件。这些事件会保留大小、限制、表面和安全原因代码。它们不会保留消息正文、附件内容、原始帧正文、令牌、Cookie 或秘密值。

握手（connect）

Gateway 网关 → 客户端（连接前质询）：

{
  "type": "event",
  "event": "connect.challenge",
  "payload": { "nonce": "…", "ts": 1737264000000 }
}

客户端 → Gateway 网关：

{
  "type": "req",
  "id": "…",
  "method": "connect",
  "params": {
    "minProtocol": 3,
    "maxProtocol": 4,
    "client": {
      "id": "cli",
      "version": "1.2.3",
      "platform": "macos",
      "mode": "operator"
    },
    "role": "operator",
    "scopes": ["operator.read", "operator.write"],
    "caps": [],
    "commands": [],
    "permissions": {},
    "auth": { "token": "…" },
    "locale": "en-US",
    "userAgent": "openclaw-cli/1.2.3",
    "device": {
      "id": "device_fingerprint",
      "publicKey": "…",
      "signature": "…",
      "signedAt": 1737264000000,
      "nonce": "…"
    }
  }
}

Gateway 网关 → 客户端：

{
  "type": "res",
  "id": "…",
  "ok": true,
  "payload": {
    "type": "hello-ok",
    "protocol": 4,
    "server": { "version": "…", "connId": "…" },
    "features": { "methods": ["…"], "events": ["…"] },
    "snapshot": { "…": "…" },
    "auth": {
      "role": "operator",
      "scopes": ["operator.read", "operator.write"]
    },
    "policy": {
      "maxPayload": 26214400,
      "maxBufferedBytes": 52428800,
      "tickIntervalMs": 15000
    }
  }
}

当 Gateway 网关仍在完成启动 sidecar 时，connect 请求可能返回可重试的 UNAVAILABLE 错误，其中 details.reason 设为 "startup-sidecars" 并带有 retryAfterMs。客户端应在其整体连接预算内重试该响应，而不是将其呈现为终止性握手失败。

server、features、snapshot 和 policy 都是 schema（src/gateway/protocol/schema/frames.ts）要求的字段。auth 也是必填字段，并报告协商后的角色/作用域。pluginSurfaceUrls 是可选字段，会将插件表面名称（例如 canvas）映射到带作用域的托管 URL。

带作用域的插件表面 URL 可能会过期。节点可以调用 node.pluginSurface.refresh，并传入 { "surface": "canvas" }，以在 pluginSurfaceUrls 中接收新的条目。实验性的 Canvas 插件重构不支持已弃用的 canvasHostUrl、canvasCapability 或 node.canvas.capability.refresh 兼容路径；当前原生客户端和 Gateway 网关必须使用插件表面。

未签发设备令牌时，hello-ok.auth 会报告协商后的权限，不包含令牌字段：

{
  "auth": {
    "role": "operator",
    "scopes": ["operator.read", "operator.write"]
  }
}

受信任的同进程后端客户端（client.id: "gateway-client"、client.mode: "backend"）在使用共享 Gateway 网关令牌/密码进行认证时，可在直接 loopback 连接上省略 device。此路径保留用于内部控制平面 RPC，并防止过期的 CLI/设备配对基线阻塞本地后端工作，例如子智能体会话更新。远程客户端、浏览器来源客户端、节点客户端，以及显式设备令牌/设备身份客户端，仍使用正常的配对和作用域升级检查。

签发设备令牌时，hello-ok 还会包含：

{
  "auth": {
    "deviceToken": "…",
    "role": "operator",
    "scopes": ["operator.read", "operator.write"]
  }
}

在受信任的 bootstrap 交接期间，hello-ok.auth 还可能在 deviceTokens 中包含额外的有界角色条目：

{
  "auth": {
    "deviceToken": "…",
    "role": "node",
    "scopes": [],
    "deviceTokens": [
      {
        "deviceToken": "…",
        "role": "operator",
        "scopes": ["operator.approvals", "operator.read", "operator.talk.secrets", "operator.write"]
      }
    ]
  }
}

对于内置的节点/操作员 bootstrap 流程，主节点令牌保持 scopes: []，任何被交接的操作员令牌都保持限制在 bootstrap 操作员允许列表内（operator.approvals、operator.read、operator.talk.secrets、operator.write）。Bootstrap 作用域检查保持角色前缀：操作员条目只满足操作员请求，非操作员角色仍需要其自身角色前缀下的作用域。

节点示例

{
  "type": "req",
  "id": "…",
  "method": "connect",
  "params": {
    "minProtocol": 3,
    "maxProtocol": 4,
    "client": {
      "id": "ios-node",
      "version": "1.2.3",
      "platform": "ios",
      "mode": "node"
    },
    "role": "node",
    "scopes": [],
    "caps": ["camera", "canvas", "screen", "location", "voice"],
    "commands": ["camera.snap", "canvas.navigate", "screen.record", "location.get"],
    "permissions": { "camera.capture": true, "screen.record": false },
    "auth": { "token": "…" },
    "locale": "en-US",
    "userAgent": "openclaw-ios/1.2.3",
    "device": {
      "id": "device_fingerprint",
      "publicKey": "…",
      "signature": "…",
      "signedAt": 1737264000000,
      "nonce": "…"
    }
  }
}

成帧

请求：{type:"req", id, method, params}
响应：{type:"res", id, ok, payload|error}
事件：{type:"event", event, payload, seq?, stateVersion?}

有副作用的方法需要幂等键（见 schema）。

角色 + 作用域

如需完整的操作员作用域模型、审批时检查和共享秘密语义，请参阅操作员作用域。

角色

operator = 控制平面客户端（CLI/UI/自动化）。
node = 能力宿主（camera/screen/canvas/system.run）。

作用域（操作员）

常用作用域：

operator.read
operator.write
operator.admin
operator.approvals
operator.pairing
operator.talk.secrets

带 includeSecrets: true 的 talk.config 需要 operator.talk.secrets（或 operator.admin）。

插件注册的 Gateway 网关 RPC 方法可以请求其自己的操作员作用域，但保留的核心管理员前缀（config.*、exec.approvals.*、wizard.*、update.*）始终解析为 operator.admin。

方法作用域只是第一道关口。一些通过 chat.send 到达的斜杠命令会在此之上应用更严格的命令级检查。例如，持久化的 /config set 和 /config unset 写入需要 operator.admin。

node.pair.approve 在基础方法作用域之外，还会在审批时执行额外的作用域检查：

无命令请求：operator.pairing
带非 exec 节点命令的请求：operator.pairing + operator.write
包含 system.run、system.run.prepare 或 system.which 的请求：operator.pairing + operator.admin

能力/命令/权限（节点）

节点在连接时声明能力声明：

caps：高级能力类别，例如 camera、canvas、screen、location、voice 和 talk。
commands：用于调用的命令允许列表。
permissions：细粒度开关（例如 screen.record、camera.capture）。

Gateway 网关将这些视为声明，并强制执行服务端允许列表。

在线状态

system-presence 返回按设备身份键控的条目。
在线状态条目包含 deviceId、roles 和 scopes，这样即使设备同时以操作员和节点身份连接，UI 也可以为每台设备显示单独一行。
node.list 包含可选的 lastSeenAtMs 和 lastSeenReason 字段。已连接的节点会以原因 connect 将其当前连接时间报告为 lastSeenAtMs；当受信任的节点事件更新其配对元数据时，已配对节点也可以报告持久的后台在线状态。

节点后台存活事件

节点可以调用 node.event 并使用 event: "node.presence.alive"，以记录已配对节点在后台唤醒期间处于存活状态，但不将其标记为已连接。

{
  "event": "node.presence.alive",
  "payloadJSON": "{\"trigger\":\"silent_push\",\"sentAtMs\":1737264000000,\"displayName\":\"Peter's iPhone\",\"version\":\"2026.4.28\",\"platform\":\"iOS 18.4.0\",\"deviceFamily\":\"iPhone\",\"modelIdentifier\":\"iPhone17,1\",\"pushTransport\":\"relay\"}"
}

trigger 是封闭枚举：background、silent_push、bg_app_refresh、significant_location、manual 或 connect。未知的 trigger 字符串会在持久化前由 Gateway 网关规范化为 background。该事件仅对已认证的节点设备会话持久化；无设备或未配对会话会返回 handled: false。

成功的 Gateway 网关会返回结构化结果：

{
  "ok": true,
  "event": "node.presence.alive",
  "handled": true,
  "reason": "persisted"
}

较旧的 Gateway 网关可能仍会为 node.event 返回 { "ok": true }；客户端应将其视为已确认的 RPC，而不是持久在线状态已保存。

广播事件作用域

服务端推送的 WebSocket 广播事件受作用域门控，因此配对作用域或仅节点会话不会被动接收会话内容。

聊天、智能体和工具结果帧（包括流式 agent 事件和工具调用结果）至少需要 operator.read。没有 operator.read 的会话会完全跳过这些帧。
插件定义的 plugin.* 广播会根据插件注册方式受 operator.write 或 operator.admin 门控。
Status 和传输事件（heartbeat、presence、tick、连接/断开生命周期等）保持不受限制，这样每个已认证会话都能观察传输健康状态。
未知广播事件族默认受作用域门控（失败关闭），除非已注册处理器明确放宽限制。

每个客户端连接都会保留自己的每客户端序列号，因此即使不同客户端看到事件流中不同的作用域过滤子集，广播也能在该套接字上保持单调顺序。

常见 RPC 方法族

公开 WS 表面比上面的握手/认证示例更广。这不是生成的转储，hello-ok.features.methods 是一个保守的发现列表，由 src/gateway/server-methods-list.ts 加载的插件/渠道方法导出构建。请将其视为功能发现，而不是 src/gateway/server-methods/*.ts 的完整枚举。

- health 返回缓存的或刚探测到的 Gateway 网关健康快照。
- diagnostics.stability 返回近期有界的诊断稳定性记录器。它会保留操作元数据，例如事件名称、计数、字节大小、内存读数、队列/会话状态、渠道/插件名称和会话 ID。它不会保留聊天文本、Webhook 正文、工具输出、原始请求或响应正文、令牌、Cookie 或秘密值。需要操作员读取作用域。
- status 返回 /status 风格的 Gateway 网关摘要；敏感字段只会包含给具备 admin 作用域的操作员客户端。
- gateway.identity.get 返回 relay 和配对流程使用的 Gateway 网关设备身份。
- system-presence 返回已连接操作员/节点设备的当前在线状态快照。
- system-event 追加系统事件，并可更新/广播在线状态上下文。
- last-heartbeat 返回最新持久化的心跳事件。
- set-heartbeats 切换 Gateway 网关上的心跳处理。

- models.list 返回运行时允许的模型目录。传入 { "view": "configured" } 可获取适合选择器显示的已配置模型（先是 agents.defaults.models，然后是 models.providers.*.models），或传入 { "view": "all" } 获取完整目录。
- usage.status 返回提供商使用窗口和剩余额度摘要。
- usage.cost 返回日期范围内的聚合成本使用摘要。
- doctor.memory.status 返回活动默认 Agent 工作区的向量记忆 / 缓存嵌入就绪状态。仅当调用方明确需要实时嵌入提供商 ping 时，才传入 { "probe": true } 或 { "deep": true }。
- doctor.memory.remHarness 返回供远程控制平面客户端使用的有界、只读 REM harness 预览。它可以包含工作区路径、记忆片段、渲染后的基于依据的 Markdown，以及深度提升候选项，因此调用方需要 operator.read。
- sessions.usage 返回每个会话的使用摘要。
- sessions.usage.timeseries 返回一个会话的时间序列使用情况。
- sessions.usage.logs 返回一个会话的使用日志条目。

- channels.status 返回内置 + 捆绑渠道/插件状态摘要。
- channels.logout 在渠道支持登出的情况下，登出特定渠道/账号。
- web.login.start 为当前支持二维码的 Web 渠道提供商启动二维码/Web 登录流程。
- web.login.wait 等待该二维码/Web 登录流程完成，并在成功后启动渠道。
- push.test 向已注册的 iOS 节点发送测试 APNs 推送。
- voicewake.get 返回已存储的唤醒词触发器。
- voicewake.set 更新唤醒词触发器并广播变更。

- send 是用于在聊天运行器之外按渠道/账号/线程目标直接发送的出站投递 RPC。
- logs.tail 返回已配置 Gateway 网关文件日志尾部，并支持游标/限制和最大字节控制。

- talk.catalog 返回只读 Talk 提供商目录，用于语音、流式转写和实时语音。它包含提供商 ID、标签、已配置状态、暴露的模型/语音 ID、规范模式、传输协议、brain 策略，以及实时音频/能力标志，但不会返回提供商密钥或修改全局配置。
- talk.config 返回生效的 Talk 配置载荷；includeSecrets 需要 operator.talk.secrets（或 operator.admin）。
- talk.session.create 为 realtime/gateway-relay、transcription/gateway-relay 或 stt-tts/managed-room 创建由 Gateway 网关拥有的 Talk 会话。brain: "direct-tools" 需要 operator.admin。
- talk.session.join 校验托管房间会话令牌，按需发出 session.ready 或 session.replaced 事件，并返回房间/会话元数据以及最近的 Talk 事件，但不包含明文令牌或已存储令牌哈希。
- talk.session.appendAudio 将 base64 PCM 输入音频追加到由 Gateway 网关拥有的实时中继和转写会话。
- talk.session.startTurn、talk.session.endTurn 和 talk.session.cancelTurn 驱动托管房间轮次生命周期，并在清除状态前拒绝过期轮次。
- talk.session.cancelOutput 停止助手音频输出，主要用于 Gateway 网关中继会话中受 VAD 门控的打断。
- talk.session.submitToolResult 完成由 Gateway 网关拥有的实时中继会话发出的提供商工具调用。当最终结果稍后返回时，传入 options: { willContinue: true } 表示临时工具输出；当工具结果应满足提供商调用且不启动另一个实时助手响应时，传入 options: { suppressResponse: true }。
- talk.session.close 关闭由 Gateway 网关拥有的中继、转写或托管房间会话，并发出终止 Talk 事件。
- talk.mode 为 WebChat/Control UI 客户端设置/广播当前 Talk 模式状态。
- talk.client.create 使用 webrtc 或 provider-websocket 创建客户端拥有的实时提供商会话，同时由 Gateway 网关拥有配置、凭证、指令和工具策略。
- talk.client.toolCall 让客户端拥有的实时传输协议将提供商工具调用转发给 Gateway 网关策略。第一个支持的工具是 openclaw_agent_consult；客户端会收到运行 ID，并等待正常聊天生命周期事件后再提交提供商特定的工具结果。
- talk.event 是面向实时、转写、STT/TTS、托管房间、电话和会议适配器的单一 Talk 事件频道。
- talk.speak 通过活动 Talk 语音提供商合成语音。
- tts.status 返回 TTS 启用状态、活动提供商、回退提供商和提供商配置状态。
- tts.providers 返回可见的 TTS 提供商清单。
- tts.enable 和 tts.disable 切换 TTS 偏好状态。
- tts.setProvider 更新首选 TTS 提供商。
- tts.convert 执行一次性文本转语音转换。

- secrets.reload 重新解析活动 SecretRefs，并且只在完全成功时替换运行时密钥状态。
- secrets.resolve 为特定命令/目标集合解析命令目标密钥分配。
- config.get 返回当前配置快照和哈希。
- config.set 写入经过校验的配置载荷。
- config.patch 合并部分配置更新。
- config.apply 校验并替换完整配置载荷。
- config.schema 返回 Control UI 和 CLI 工具使用的实时配置 schema 载荷：schema、uiHints、版本和生成元数据，包括运行时可以加载时的插件 + 渠道 schema 元数据。该 schema 包含字段 title / description 元数据，这些元数据派生自 UI 使用的相同标签和帮助文本；当存在匹配字段文档时，也包括嵌套对象、通配符、数组项以及 anyOf / oneOf / allOf 组合分支。
- config.schema.lookup 为一个配置路径返回按路径限定的查找载荷：规范化路径、浅层 schema 节点、匹配的提示 + hintPath，以及用于 UI/CLI 下钻的直接子项摘要。查找 schema 节点保留面向用户的文档和常见校验字段（title、description、type、enum、const、format、pattern、数值/字符串/数组/对象边界，以及 additionalProperties、deprecated、readOnly、writeOnly 等标志）。子项摘要暴露 key、规范化 path、type、required、hasChildren，以及匹配的 hint / hintPath。
- update.run 运行 Gateway 网关更新流程，并且只在更新本身成功时安排重启；带有会话的调用方可以包含 continuationMessage，这样启动时会通过重启延续队列恢复一个后续 Agent 轮次。包管理器更新会在包替换后强制一次非延迟、无冷却的更新重启，避免旧 Gateway 网关进程继续从已替换的 dist 树中懒加载。
- update.status 返回最新缓存的更新重启哨兵，包括可用时的重启后运行版本。
- wizard.start、wizard.next、wizard.status 和 wizard.cancel 通过 WS RPC 暴露新手引导向导。

- agents.list 返回已配置的 Agent 条目，包括生效模型和运行时元数据。
- agents.create、agents.update 和 agents.delete 管理 Agent 记录和工作区连接。
- agents.files.list、agents.files.get 和 agents.files.set 管理为 Agent 暴露的引导工作区文件。
- tasks.list、tasks.get 和 tasks.cancel 向 SDK 和操作员客户端暴露 Gateway 网关任务台账。
- artifacts.list、artifacts.get 和 artifacts.download 为显式 sessionKey、runId 或 taskId 作用域暴露由转录记录派生的工件摘要和下载。运行和任务查询会在服务端解析所属会话，并且只返回带有匹配来源的转录记录媒体；不安全或本地 URL 来源会返回不支持的下载，而不是在服务端抓取。
- environments.list 和 environments.status 为 SDK 客户端暴露只读的 Gateway 网关本地和节点环境发现。
- agent.identity.get 返回 Agent 或会话的生效助手身份。
- agent.wait 等待运行完成，并在可用时返回终止快照。

- sessions.list 返回当前会话索引，包括在配置了 Agent 运行时后端时每行的 agentRuntime 元数据。
- sessions.subscribe 和 sessions.unsubscribe 为当前 WS 客户端切换会话变更事件订阅。
- sessions.messages.subscribe 和 sessions.messages.unsubscribe 为一个会话切换转录记录/消息事件订阅。
- sessions.preview 返回特定会话键的有界转录记录预览。
- sessions.describe 返回精确会话键对应的一条 Gateway 网关会话行。
- sessions.resolve 解析或规范化会话目标。
- sessions.create 创建新的会话条目。
- sessions.send 向现有会话发送消息。
- sessions.steer 是活动会话的中断并 Steer 变体。
- sessions.abort 中止会话的活动工作。调用方可以传入 key 以及可选的 runId，或仅为 Gateway 网关可解析到会话的活动运行传入 runId。
- sessions.patch 更新会话元数据/覆盖项，并报告已解析的规范模型以及生效的 agentRuntime。
- sessions.reset、sessions.delete 和 sessions.compact 执行会话维护。
- sessions.get 返回完整存储的会话行。
- 聊天执行仍使用 chat.history、chat.send、chat.abort 和 chat.inject。chat.history 针对 UI 客户端做了显示规范化：内联指令标签会从可见文本中移除，纯文本工具调用 XML 载荷（包括 <tool_call>...</tool_call>、<function_call>...</function_call>、<tool_calls>...</tool_calls>、<function_calls>...</function_calls>，以及被截断的工具调用块）和泄漏的 ASCII/全角模型控制令牌会被移除，精确 NO_REPLY / no_reply 等纯静默令牌助手行会被省略，过大的行可以替换为占位符。

- device.pair.list 返回待处理和已批准的已配对设备。
- device.pair.approve、device.pair.reject 和 device.pair.remove 管理设备配对记录。
- device.token.rotate 在已批准角色和调用方作用域边界内轮换已配对设备令牌。
- device.token.revoke 在已批准角色和调用方作用域边界内撤销已配对设备令牌。

- node.pair.request、node.pair.list、node.pair.approve、node.pair.reject、node.pair.remove 和 node.pair.verify 覆盖节点配对和引导校验。
- node.list 和 node.describe 返回已知/已连接节点状态。
- node.rename 更新已配对节点标签。
- node.invoke 将命令转发到已连接节点。
- node.invoke.result 返回调用请求的结果。
- node.event 将节点发起的事件带回 Gateway 网关。
- node.pending.pull 和 node.pending.ack 是已连接节点队列 API。
- node.pending.enqueue 和 node.pending.drain 管理离线/断开连接节点的持久待处理工作。

- exec.approval.request、exec.approval.get、exec.approval.list 和 exec.approval.resolve 覆盖一次性 exec 审批请求以及待处理审批查询/重放。
- exec.approval.waitDecision 等待一个待处理的 exec 审批，并返回最终决定（超时时返回 null）。
- exec.approvals.get 和 exec.approvals.set 管理 Gateway 网关 exec 审批策略快照。
- exec.approvals.node.get 和 exec.approvals.node.set 通过节点中继命令管理节点本地 exec 审批策略。
- plugin.approval.request、plugin.approval.list、plugin.approval.waitDecision 和 plugin.approval.resolve 覆盖插件定义的审批流程。

- 自动化：wake 调度一次立即或下一次 Heartbeat 的唤醒文本注入；cron.get、cron.list、cron.status、cron.add、cron.update、cron.remove、cron.run、cron.runs 管理定时工作。
- Skills 和工具：commands.list、skills.*、tools.catalog、tools.effective、tools.invoke。

常见事件族

chat：UI 聊天更新，例如 chat.inject 和其他仅用于转录的聊天
事件。
session.message 和 session.tool：已订阅会话的转录/事件流更新。
sessions.changed：会话索引或元数据已更改。
presence：系统在线状态快照更新。
tick：周期性 keepalive / 存活事件。
health：Gateway 网关健康快照更新。
heartbeat：Heartbeat 事件流更新。
cron：cron 运行/作业变更事件。
shutdown：Gateway 网关关闭通知。
node.pair.requested / node.pair.resolved：节点配对生命周期。
node.invoke.request：节点调用请求广播。
device.pair.requested / device.pair.resolved：已配对设备生命周期。
voicewake.changed：唤醒词触发器配置已更改。
exec.approval.requested / exec.approval.resolved：exec 审批
生命周期。
plugin.approval.requested / plugin.approval.resolved：插件审批
生命周期。

节点辅助方法

节点可以调用 skills.bins 来获取当前技能可执行文件列表，
用于自动允许检查。

任务台账 RPC

操作员客户端可以通过任务台账 RPC 检查并取消 Gateway 网关后台任务记录。
这些方法返回经过净化的任务摘要，而不是原始运行时状态。

tasks.list 需要 operator.read。
参数：可选的 status（"queued"、"running"、"completed"、
"failed"、"cancelled" 或 "timed_out"）或这些状态的数组，
可选的 agentId、可选的 sessionKey、从 1 到
500 的可选 limit，以及可选字符串 cursor。
结果：{ "tasks": TaskSummary[], "nextCursor"?: string }。
tasks.get 需要 operator.read。
参数：{ "taskId": string }。
结果：{ "task": TaskSummary }。
缺失的任务 ID 会返回 Gateway 网关未找到错误形状。
tasks.cancel 需要 operator.write。
参数：{ "taskId": string, "reason"?: string }。
结果：
{ "found": boolean, "cancelled": boolean, "reason"?: string, "task"?: TaskSummary }。
found 报告台账中是否有匹配任务。cancelled
报告运行时是否接受或记录了取消。

TaskSummary 包含 id、status，以及可选元数据，例如 kind、
runtime、title、agentId、sessionKey、childSessionKey、ownerKey、
runId、taskId、flowId、parentTaskId、sourceId、时间戳、进度、
终止摘要，以及经过净化的错误文本。

操作员辅助方法

操作员可以调用 commands.list（operator.read）来获取某个智能体的运行时
命令清单。
agentId 是可选的；省略它会读取默认 Agent 工作区。
scope 控制主要 name 面向哪个表面：
- text 返回不带前导 / 的主要文本命令令牌
- native 和默认的 both 路径会在可用时返回提供商感知的原生命名
textAliases 携带精确的斜杠别名，例如 /model 和 /m。
nativeName 在存在时携带提供商感知的原生命令名。
provider 是可选的，只影响原生命名以及原生插件命令可用性。
includeArgs=false 会从响应中省略序列化的参数元数据。
操作员可以调用 tools.catalog（operator.read）来获取某个
智能体的运行时工具目录。响应包含分组工具和来源元数据：
source：core 或 plugin
pluginId：当 source="plugin" 时的插件所有者
optional：插件工具是否可选
操作员可以调用 tools.effective（operator.read）来获取某个会话的运行时生效工具
清单。
sessionKey 是必需的。
Gateway 网关会从服务端会话派生可信运行时上下文，而不是接受
调用方提供的认证或投递上下文。
响应限定在会话范围内，并反映当前活跃对话现在可以使用的内容，
包括核心、插件和渠道工具。
操作员可以调用 tools.invoke（operator.write）来通过与
/tools/invoke 相同的 Gateway 网关策略路径调用一个可用工具。
name 是必需的。args、sessionKey、agentId、confirm 和
idempotencyKey 是可选的。
如果同时存在 sessionKey 和 agentId，解析出的会话智能体必须匹配
agentId。
响应是面向 SDK 的封装，包含 ok、toolName、可选的 output，以及带类型的
error 字段。审批或策略拒绝会在载荷中返回 ok:false，而不是
绕过 Gateway 网关工具策略管线。
操作员可以调用 skills.status（operator.read）来获取某个智能体的可见
技能清单。
agentId 是可选的；省略它会读取默认 Agent 工作区。
响应包含资格、缺失需求、配置检查，以及经过净化的安装选项，
不会暴露原始秘密值。
操作员可以调用 skills.search 和 skills.detail（operator.read）来获取
ClawHub 发现元数据。
操作员可以调用 skills.upload.begin、skills.upload.chunk 和
skills.upload.commit（operator.admin），在安装前暂存私有技能归档。
这是面向可信客户端的独立管理员上传路径，不是普通的 ClawHub 技能安装流程，
并且默认禁用，除非启用 skills.install.allowUploadedArchives。
skills.upload.begin({ kind: "skill-archive", slug, sizeBytes, sha256?, force?, idempotencyKey? })
会创建一个绑定到该 slug 和 force 值的上传。
skills.upload.chunk({ uploadId, offset, dataBase64 }) 会在精确解码偏移处
追加字节。
skills.upload.commit({ uploadId, sha256? }) 会验证最终大小和
SHA-256。提交只会完成上传；它不会安装技能。
上传的技能归档是包含根级 SKILL.md 的 zip 归档。
归档内部目录名绝不会选择安装目标。
操作员可以通过三种模式调用 skills.install（operator.admin）：
ClawHub 模式：{ source: "clawhub", slug, version?, force? } 将一个
技能文件夹安装到默认 Agent 工作区的 skills/ 目录。
上传模式：{ source: "upload", uploadId, slug, force?, sha256?, timeoutMs? }
将已提交的上传安装到默认 Agent 工作区的 skills/<slug>
目录。slug 和 force 值必须匹配原始
skills.upload.begin 请求。除非启用
skills.install.allowUploadedArchives，否则此模式会被拒绝。该设置不会
影响 ClawHub 安装。
Gateway 网关安装器模式：{ name, installId, dangerouslyForceUnsafeInstall?, timeoutMs? }
在 Gateway 网关主机上运行声明的 metadata.openclaw.install 操作。
操作员可以通过两种模式调用 skills.update（operator.admin）：
ClawHub 模式会更新默认 Agent 工作区中的一个已跟踪 slug，或所有已跟踪的 ClawHub 安装。
配置模式会修补 skills.entries.<skillKey> 值，例如 enabled、
apiKey 和 env。

`models.list` 视图

models.list 接受可选的 view 参数：

省略或 "default"：当前运行时行为。如果配置了 agents.defaults.models，响应将是允许目录，包括针对 provider/* 条目动态发现的模型。否则响应为完整 Gateway 网关目录。
"configured"：适合选择器大小的行为。如果配置了 agents.defaults.models，它仍然优先，包括针对 provider/* 条目的提供商范围发现。如果没有允许列表，响应会使用显式 models.providers.*.models 条目，并且仅在没有已配置模型行时回退到完整目录。
"all"：完整 Gateway 网关目录，绕过 agents.defaults.models。将其用于诊断和发现 UI，而不是普通模型选择器。

Exec 审批

当 exec 请求需要审批时，Gateway 网关会广播 exec.approval.requested。
操作员客户端通过调用 exec.approval.resolve 进行处理（需要 operator.approvals 作用域）。
对于 host=node，exec.approval.request 必须包含 systemRunPlan（规范的 argv/cwd/rawCommand/会话元数据）。缺少 systemRunPlan 的请求会被拒绝。
审批后，转发的 node.invoke system.run 调用会复用该规范
systemRunPlan，将其作为权威的命令/cwd/会话上下文。
如果调用方在准备和最终已审批的 system.run 转发之间篡改 command、rawCommand、cwd、agentId 或
sessionKey，Gateway 网关会拒绝运行，而不是信任被篡改的载荷。

Agent 投递回退

agent 请求可以包含 deliver=true 来请求出站投递。
bestEffortDeliver=false 保持严格行为：无法解析或仅限内部的投递目标会返回 INVALID_REQUEST。
bestEffortDeliver=true 允许在无法解析外部可投递路由时回退到仅会话执行（例如内部/webchat 会话或有歧义的多渠道配置）。
当请求了投递时，最终 agent 结果可能包含 result.deliveryStatus，
使用与 openclaw agent --json --deliver 中记录的相同 sent、suppressed、partial_failed 和 failed
状态。

版本控制

PROTOCOL_VERSION 位于 src/gateway/protocol/version.ts。
客户端发送 minProtocol + maxProtocol；服务端会拒绝不包含其当前协议的范围。
原生客户端使用 v3 下界，因此增量式 v4 客户端仍可访问 v3 Gateway 网关。
Schema + 模型从 TypeBox 定义生成：
pnpm protocol:gen
pnpm protocol:gen:swift
pnpm protocol:check

客户端常量

src/gateway/client.ts 中的参考客户端使用这些默认值。这些值在
协议 v4 中保持稳定，并且是第三方客户端的预期基线。

常量	默认值	来源
`PROTOCOL_VERSION`	`4`	`src/gateway/protocol/version.ts`
`MIN_CLIENT_PROTOCOL_VERSION`	`3`	`src/gateway/protocol/version.ts`
请求超时（每个 RPC）	`30_000` ms	`src/gateway/client.ts` (`requestTimeoutMs`)
预认证 / 连接挑战超时	`15_000` ms	`src/gateway/handshake-timeouts.ts`（配置/环境可以提高成对服务器/客户端预算）
初始重连退避	`1_000` ms	`src/gateway/client.ts` (`backoffMs`)
最大重连退避	`30_000` ms	`src/gateway/client.ts` (`scheduleReconnect`)
设备令牌关闭后的快速重试限制	`250` ms	`src/gateway/client.ts`
`terminate()` 前的强制停止宽限期	`250` ms	`FORCE_STOP_TERMINATE_GRACE_MS`
`stopAndWait()` 默认超时	`1_000` ms	`STOP_AND_WAIT_TIMEOUT_MS`
默认 tick 间隔（`hello-ok` 前）	`30_000` ms	`src/gateway/client.ts`
tick 超时关闭	静默超过 `tickIntervalMs * 2` 时使用代码 `4000`	`src/gateway/client.ts`
`MAX_PAYLOAD_BYTES`	`25 * 1024 * 1024`（25 MB）	`src/gateway/server-constants.ts`

服务器会在 hello-ok 中通告有效的 policy.tickIntervalMs、policy.maxPayload
和 policy.maxBufferedBytes；客户端应遵循这些值，
而不是握手前的默认值。

认证

共享密钥 Gateway 网关认证使用 connect.params.auth.token 或
connect.params.auth.password，具体取决于配置的认证模式。
带有身份的模式（例如 Tailscale Serve
(gateway.auth.allowTailscale: true)）或非环回
gateway.auth.mode: "trusted-proxy" 会通过请求头满足连接认证检查，
而不是通过 connect.params.auth.*。
私有入口 gateway.auth.mode: "none" 会完全跳过共享密钥连接认证；
不要在公共/不可信入口上暴露该模式。
配对后，Gateway 网关会签发一个限定到连接角色 + 范围的设备令牌。
它会在 hello-ok.auth.deviceToken 中返回，客户端应将其持久化以供后续连接使用。
客户端应在任何成功连接后持久化主 hello-ok.auth.deviceToken。
使用该已存储设备令牌重新连接时，也应复用为该令牌存储的已批准范围集。
这会保留已授予的读取/探测/状态访问权限，并避免重连被静默收窄为
更窄的隐式仅管理员范围。
客户端连接认证组装（src/gateway/client.ts 中的 selectConnectAuth）：
auth.password 是正交的，设置后总会转发。
auth.token 按优先级填充：显式共享令牌优先，
然后是显式 deviceToken，再然后是已存储的每设备令牌（按
deviceId + role 建键）。
只有在以上都没有解析出 auth.token 时，才会发送 auth.bootstrapToken。
共享令牌或任何已解析设备令牌都会抑制它。
在一次性 AUTH_TOKEN_MISMATCH 重试中自动提升已存储设备令牌，
仅限于可信端点：环回，或带有固定 tlsFingerprint 的 wss://。
未固定的公共 wss:// 不符合条件。
额外的 hello-ok.auth.deviceTokens 条目是引导交接令牌。
只有当连接在可信传输（例如 wss:// 或环回/本地配对）上使用引导认证时，
才持久化它们。
如果客户端提供了显式 deviceToken 或显式 scopes，
该调用方请求的范围集仍然是权威来源；只有在客户端复用已存储的每设备令牌时，
才会复用缓存范围。
设备令牌可以通过 device.token.rotate 和
device.token.revoke 轮换/撤销（需要 operator.pairing 范围）。
device.token.rotate 返回轮换元数据。它只会在同设备调用且该调用已使用
该设备令牌完成认证时回显替换用 bearer 令牌，因此仅令牌客户端可以在重连前
持久化替换令牌。共享/管理员轮换不会回显 bearer 令牌。
令牌签发、轮换和撤销会受限于该设备配对条目中记录的已批准角色集；
令牌变更不能扩展或指向配对审批从未授予的设备角色。
对于已配对设备令牌会话，除非调用方还拥有 operator.admin，
否则设备管理仅限自身范围：非管理员调用方只能移除/撤销/轮换
自己的设备条目。
device.token.rotate 和 device.token.revoke 还会根据调用方当前会话范围
检查目标 operator 令牌范围集。非管理员调用方不能轮换或撤销比自己已持有范围
更广的 operator 令牌。
认证失败包含 error.details.code 以及恢复提示：
error.details.canRetryWithDeviceToken（布尔值）
error.details.recommendedNextStep (retry_with_device_token, update_auth_configuration, update_auth_credentials, wait_then_retry, review_auth_configuration)
客户端针对 AUTH_TOKEN_MISMATCH 的行为：
可信客户端可以尝试一次有界重试，使用缓存的每设备令牌。
如果该重试失败，客户端应停止自动重连循环，并展示 operator 操作指导。
AUTH_SCOPE_MISMATCH 表示设备令牌已被识别，但不覆盖
请求的角色/范围。客户端不应将其呈现为错误令牌；
应提示 operator 重新配对或批准更窄/更宽的范围契约。

设备身份 + 配对

节点应包含一个稳定设备身份 (device.id)，该身份派生自
密钥对指纹。
Gateway 网关按设备 + 角色签发令牌。
除非启用了本地自动批准，否则新的设备 ID 需要配对批准。
配对自动批准以直接 local loopback 连接为中心。
OpenClaw 还有一条狭窄的后端/容器本地自连接路径，用于
可信共享密钥辅助流程。
同主机 tailnet 或 LAN 连接在配对时仍被视为远程连接，
并需要批准。
WS 客户端通常在 connect 期间包含 device 身份（operator +
节点）。唯一无设备 operator 例外是显式信任路径：
gateway.controlUi.allowInsecureAuth=true，用于仅 localhost 的不安全 HTTP 兼容性。
成功的 gateway.auth.mode: "trusted-proxy" operator Control UI 认证。
gateway.controlUi.dangerouslyDisableDeviceAuth=true（破窗选项，严重安全降级）。
直接环回的 gateway-client 后端 RPC，使用共享
Gateway 网关令牌/密码认证。
所有连接都必须签名服务器提供的 connect.challenge nonce。

设备认证迁移诊断

对于仍使用挑战前签名行为的旧版客户端，connect 现在会返回
error.details.code 下的 DEVICE_AUTH_* 详情代码，以及稳定的 error.details.reason。

常见迁移失败：

消息	details.code	details.reason	含义
`device nonce required`	`DEVICE_AUTH_NONCE_REQUIRED`	`device-nonce-missing`	客户端省略了 `device.nonce`（或发送了空值）。
`device nonce mismatch`	`DEVICE_AUTH_NONCE_MISMATCH`	`device-nonce-mismatch`	客户端使用过期/错误 nonce 进行了签名。
`device signature invalid`	`DEVICE_AUTH_SIGNATURE_INVALID`	`device-signature`	签名载荷与 v2 载荷不匹配。
`device signature expired`	`DEVICE_AUTH_SIGNATURE_EXPIRED`	`device-signature-stale`	签名时间戳超出允许偏移。
`device identity mismatch`	`DEVICE_AUTH_DEVICE_ID_MISMATCH`	`device-id-mismatch`	`device.id` 与公钥指纹不匹配。
`device public key invalid`	`DEVICE_AUTH_PUBLIC_KEY_INVALID`	`device-public-key`	公钥格式/规范化失败。

迁移目标：

始终等待 connect.challenge。
签名包含服务器 nonce 的 v2 载荷。
在 connect.params.device.nonce 中发送相同 nonce。
首选签名载荷是 v3，它除了绑定 device/client/role/scopes/token/nonce 字段外，
还绑定 platform 和 deviceFamily。
为了兼容性，旧版 v2 签名仍会被接受，但已配对设备的
元数据固定仍会在重连时控制命令策略。

TLS + 固定

WS 连接支持 TLS。
客户端可以选择固定 Gateway 网关证书指纹（参见 gateway.tls
配置以及 gateway.remote.tlsFingerprint 或 CLI --tls-fingerprint）。

范围

该协议暴露完整 Gateway 网关 API（状态、渠道、模型、聊天、
智能体、会话、节点、审批等）。确切表面由
src/gateway/protocol/schema.ts 中的 TypeBox schema 定义。

📄 桥接协议

原文：https://docs.openclaw.ai/zh-CN/gateway/bridge-protocol

TCP bridge 已被移除。当前的 OpenClaw 构建不再随附 bridge 监听器，且 bridge.* 配置键也不再包含在架构中。此页面仅保留作历史参考。所有节点/操作员客户端都应使用 Gateway 网关协议。

它曾经存在的原因

安全边界：bridge 暴露的是小范围允许列表，而不是完整的 Gateway 网关 API 表面。
配对 + 节点身份：节点准入由 Gateway 网关负责，并绑定到每个节点专属的 token。
设备发现 UX：节点可以通过局域网上的 Bonjour 发现 Gateway 网关，或通过 tailnet 直接连接。
Loopback WS：完整的 WS 控制平面会保持在本地，除非通过 SSH 隧道转发。

传输协议

TCP，每行一个 JSON 对象（JSONL）。
可选 TLS（当 bridge.tls.enabled 为 true 时）。
历史默认监听端口是 18790（当前构建不会启动 TCP bridge）。

启用 TLS 时，设备发现 TXT 记录会包含 bridgeTls=1，并包含 bridgeTlsSha256 作为非机密提示。请注意，Bonjour/mDNS TXT 记录未经认证；除非有明确的用户意图或其他带外验证，客户端不得将广播的指纹视为权威 pin。

握手 + 配对

客户端发送带有节点元数据 + token（如果已配对）的 hello。
如果未配对，Gateway 网关回复 error（NOT_PAIRED/UNAUTHORIZED）。
客户端发送 pair-request。
Gateway 网关等待批准，然后发送 pair-ok 和 hello-ok。

历史上，hello-ok 会返回 serverName；托管插件表面现在通过 pluginSurfaceUrls 广播。Canvas/A2UI 使用 pluginSurfaceUrls.canvas；已弃用的 canvasHostUrl 别名不属于重构后的协议。

帧

客户端 → Gateway 网关：

req / res：限定范围的 Gateway 网关 RPC（聊天、会话、配置、健康检查、voicewake、skills.bins）
event：节点信号（语音转写、智能体请求、聊天订阅、exec 生命周期）

Gateway 网关 → 客户端：

invoke / invoke-res：节点命令（canvas.*、camera.*、screen.record、
location.get、sms.send）
event：已订阅会话的聊天更新
ping / pong：keepalive

旧版允许列表强制执行位于 src/gateway/server-bridge.ts（已移除）。

Exec 生命周期事件

节点可以发出 exec.finished 或 exec.denied 事件来呈现 system.run 活动。
这些事件会在 Gateway 网关中映射为系统事件。（旧版节点仍可能发出 exec.started。）

载荷字段（除非注明，否则均为可选）：

sessionKey（必需）：接收系统事件的智能体会话。
runId：用于分组的唯一 exec id。
command：原始或格式化后的命令字符串。
exitCode、timedOut、success、output：完成详情（仅 finished）。
reason：拒绝原因（仅 denied）。

历史 tailnet 用法

将 bridge 绑定到 tailnet IP：在 ~/.openclaw/openclaw.json 中设置 bridge.bind: "tailnet"（仅历史用法；bridge.* 不再有效）。
客户端通过 MagicDNS 名称或 tailnet IP 连接。
Bonjour 不会跨网络工作；需要时请使用手动 host/port 或广域 DNS-SD。

版本控制

bridge 曾是隐式 v1（没有 min/max 协商）。本节仅为历史参考；当前节点/操作员客户端使用 WebSocket Gateway 网关协议。

📄 OpenAI 聊天补全

原文：https://docs.openclaw.ai/zh-CN/gateway/openai-http-api

OpenClaw 的 Gateway 网关可以提供一个小型的 OpenAI 兼容聊天补全端点。

此端点默认禁用。请先在配置中启用它。

POST /v1/chat/completions
与 Gateway 网关相同的端口（WS + HTTP 多路复用）：http://<gateway-host>:<port>/v1/chat/completions

启用 Gateway 网关的 OpenAI 兼容 HTTP 表面后，它还会提供：

GET /v1/models
GET /v1/models/{id}
POST /v1/embeddings
POST /v1/responses

在底层，请求会作为普通 Gateway 网关智能体运行来执行（与 openclaw agent 相同的代码路径），因此路由/权限/配置与你的 Gateway 网关一致。

认证

使用 Gateway 网关认证配置。

常见 HTTP 认证路径：

共享密钥认证（gateway.auth.mode="token" 或 "password"）：
Authorization: Bearer <token-or-password>
带可信身份的 HTTP 认证（gateway.auth.mode="trusted-proxy"）：
通过已配置的身份感知代理进行路由，并让它注入
所需的身份标头
私有入口开放认证（gateway.auth.mode="none"）：
不需要认证标头

注意：

当 gateway.auth.mode="token" 时，使用 gateway.auth.token（或 OPENCLAW_GATEWAY_TOKEN）。
当 gateway.auth.mode="password" 时，使用 gateway.auth.password（或 OPENCLAW_GATEWAY_PASSWORD）。
当 gateway.auth.mode="trusted-proxy" 时，HTTP 请求必须来自
已配置的可信代理来源；同主机回环代理需要显式设置
gateway.auth.trustedProxy.allowLoopback = true。
如果配置了 gateway.auth.rateLimit 且认证失败次数过多，端点会返回带 Retry-After 的 429。

安全边界（重要）

将此端点视为该 Gateway 网关实例的完整操作员访问表面。

这里的 HTTP bearer 认证不是窄范围的按用户作用域模型。
此端点的有效 Gateway 网关令牌/密码应被视为所有者/操作员凭证。
请求会通过与可信操作员操作相同的控制平面智能体路径运行。
此端点没有单独的非所有者/按用户工具边界；调用者一旦通过这里的 Gateway 网关认证，OpenClaw 就会将该调用者视为此 Gateway 网关的可信操作员。
对于共享密钥认证模式（token 和 password），即使调用者发送更窄的 x-openclaw-scopes 标头，端点也会恢复正常的完整操作员默认值。
带可信身份的 HTTP 模式（例如可信代理认证或 gateway.auth.mode="none"）会在存在 x-openclaw-scopes 时遵循它，否则回退到正常的操作员默认作用域集合。
如果目标智能体策略允许敏感工具，此端点可以使用它们。
仅将此端点保持在回环/tailnet/私有入口上；不要将其直接暴露到公共互联网。

认证矩阵：

gateway.auth.mode="token" 或 "password" + Authorization: Bearer ...
证明持有共享 Gateway 网关操作员密钥
忽略更窄的 x-openclaw-scopes
恢复完整的默认操作员作用域集合：
operator.admin, operator.approvals, operator.pairing,
operator.read, operator.talk.secrets, operator.write
将此端点上的聊天轮次视为所有者发送方轮次
带可信身份的 HTTP 模式（例如可信代理认证，或私有入口上的 gateway.auth.mode="none"）
认证某个外层可信身份或部署边界
当标头存在时遵循 x-openclaw-scopes
当标头缺失时回退到正常的操作员默认作用域集合
仅当调用者显式缩窄作用域并省略 operator.admin 时，才会失去所有者语义

参见安全和远程访问。

智能体优先的模型契约

OpenClaw 将 OpenAI model 字段视为智能体目标，而不是原始提供商模型 ID。

model: "openclaw" 路由到已配置的默认智能体。
model: "openclaw/default" 也路由到已配置的默认智能体。
model: "openclaw/<agentId>" 路由到特定智能体。

可选请求标头：

x-openclaw-model: <provider/model-or-bare-id> 覆盖所选智能体的后端模型。
x-openclaw-agent-id: <agentId> 仍作为兼容性覆盖受支持。
x-openclaw-session-key: <sessionKey> 完全控制会话路由。
x-openclaw-message-channel: <channel> 为感知渠道的提示词和策略设置合成入口渠道上下文。

仍接受的兼容性别名：

model: "openclaw:<agentId>"
model: "agent:<agentId>"

启用端点

将 gateway.http.endpoints.chatCompletions.enabled 设置为 true：

{
  gateway: {
    http: {
      endpoints: {
        chatCompletions: { enabled: true },
      },
    },
  },
}

禁用端点

将 gateway.http.endpoints.chatCompletions.enabled 设置为 false：

{
  gateway: {
    http: {
      endpoints: {
        chatCompletions: { enabled: false },
      },
    },
  },
}

会话行为

默认情况下，此端点每个请求无状态（每次调用都会生成新的会话键）。

如果请求包含 OpenAI user 字符串，Gateway 网关会从中派生稳定的会话键，因此重复调用可以共享一个智能体会话。

此表面的重要性

这是面向自托管前端和工具的最高杠杆兼容性集合：

大多数 Open WebUI、LobeChat 和 LibreChat 设置都期望 /v1/models。
许多 RAG 系统期望 /v1/embeddings。
现有 OpenAI 聊天客户端通常可以从 /v1/chat/completions 开始。
更多智能体原生客户端越来越偏好 /v1/responses。

模型列表和智能体路由

<Accordion title="/v1/models 返回什么？">
一个 OpenClaw 智能体目标列表。

返回的 ID 是 `openclaw`、`openclaw/default` 和 `openclaw/<agentId>` 条目。
直接将它们用作 OpenAI `model` 值。

<Accordion title="/v1/models 列出智能体还是子智能体？">
它列出顶层智能体目标，不列出后端提供商模型，也不列出子智能体。

子智能体仍然是内部执行拓扑。它们不会作为伪模型出现。

<Accordion title="为什么包含 openclaw/default？">
openclaw/default 是已配置默认智能体的稳定别名。

这意味着即使真实的默认智能体 ID 在不同环境之间发生变化，客户端也可以继续使用一个可预测的 ID。

使用 x-openclaw-model。

示例：
`x-openclaw-model: openai/gpt-5.4`
`x-openclaw-model: gpt-5.5`

如果省略它，所选智能体会使用其正常配置的模型选择运行。

/v1/embeddings 使用相同的智能体目标 model ID。

使用 `model: "openclaw/default"` 或 `model: "openclaw/<agentId>"`。
当你需要特定嵌入模型时，在 `x-openclaw-model` 中发送它。
如果没有该标头，请求会传递到所选智能体的正常嵌入设置。

流式传输（SSE）

设置 stream: true 以接收服务器发送事件（SSE）：

Content-Type: text/event-stream
每个事件行都是 data: <json>
流以 data: [DONE] 结束

聊天工具契约

/v1/chat/completions 支持与常见 OpenAI Chat 客户端兼容的函数工具子集。

支持的请求字段

tools：{ "type": "function", "function": { ... } } 的数组
tool_choice："auto"、"none"
messages[*].role: "tool" 后续轮次
messages[*].tool_call_id，用于将工具结果绑定回先前的工具调用
max_completion_tokens：数字；每次调用的总补全令牌上限（包括推理令牌）。当前 OpenAI Chat Completions 字段名；当同时发送 max_completion_tokens 和 max_tokens 时优先使用。
max_tokens：数字；为向后兼容而接受的旧版别名。当同时存在 max_completion_tokens 时会被忽略。

当任一字段被设置时，该值会通过智能体流参数通道转发给上游提供商。发送给上游提供商的实际线路字段名由提供商传输层选择：OpenAI 系端点使用 max_completion_tokens，仅接受旧版名称的提供商（如 Mistral 和 Chutes）使用 max_tokens。

不支持的变体

对于不支持的工具变体，端点返回 400 invalid_request_error，包括：

非数组 tools
非函数工具条目
缺失 tool.function.name
tool_choice 变体，例如 allowed_tools 和 custom
tool_choice: "required"（运行时尚未强制执行；硬性强制实现后将支持）
tool_choice: { "type": "function", "function": { "name": "..." } }（理由同 required）
与提供的 tools 不匹配的 tool_choice.function.name 值

非流式工具响应形状

当智能体决定调用工具时，响应使用：

choices[0].finish_reason = "tool_calls"
choices[0].message.tool_calls[] 条目包含：
id
type: "function"
function.name
function.arguments（JSON 字符串）

工具调用前的助手评论会在 choices[0].message.content 中返回（可能为空）。

流式工具响应形状

当 stream: true 时，工具调用会作为增量 SSE 分块发出：

初始助手角色 delta
可选的助手评论 delta
一个或多个携带工具身份和参数片段的 delta.tool_calls 分块
带有 finish_reason: "tool_calls" 的最终分块
data: [DONE]

如果 stream_options.include_usage=true，会在 [DONE] 前发出尾随用量分块。

工具后续循环

收到 tool_calls 后，客户端应执行请求的函数，并发送包含以下内容的后续请求：

先前的助手工具调用消息
一个或多个带匹配 tool_call_id 的 role: "tool" 消息

这允许 Gateway 网关智能体运行继续相同的推理循环，并生成最终助手答案。

Open WebUI 快速设置

对于基础 Open WebUI 连接：

Base URL：http://127.0.0.1:18789/v1
macOS 上 Docker 的 Base URL：http://host.docker.internal:18789/v1
API key：你的 Gateway 网关 bearer 令牌
Model：openclaw/default

预期行为：

GET /v1/models 应列出 openclaw/default
Open WebUI 应使用 openclaw/default 作为聊天模型 ID
如果你想为该智能体指定特定后端提供商/模型，请设置智能体的正常默认模型，或发送 x-openclaw-model

快速冒烟测试：

curl -sS http://127.0.0.1:18789/v1/models \
  -H 'Authorization: Bearer YOUR_TOKEN'

如果它返回 openclaw/default，大多数 Open WebUI 设置都可以使用相同的 Base URL 和令牌连接。

示例

非流式：

curl -sS http://127.0.0.1:18789/v1/chat/completions \
  -H 'Authorization: Bearer YOUR_TOKEN' \
  -H 'Content-Type: application/json' \
  -d '{
    "model": "openclaw/default",
    "messages": [{"role":"user","content":"hi"}]
  }'

流式：

curl -N http://127.0.0.1:18789/v1/chat/completions \
  -H 'Authorization: Bearer YOUR_TOKEN' \
  -H 'Content-Type: application/json' \
  -H 'x-openclaw-model: openai/gpt-5.4' \
  -d '{
    "model": "openclaw/research",
    "stream": true,
    "messages": [{"role":"user","content":"hi"}]
  }'

列出模型：

curl -sS http://127.0.0.1:18789/v1/models \
  -H 'Authorization: Bearer YOUR_TOKEN'

获取一个模型：

curl -sS http://127.0.0.1:18789/v1/models/openclaw%2Fdefault \
  -H 'Authorization: Bearer YOUR_TOKEN'

创建嵌入：

curl -sS http://127.0.0.1:18789/v1/embeddings \
  -H 'Authorization: Bearer YOUR_TOKEN' \
  -H 'Content-Type: application/json' \
  -H 'x-openclaw-model: openai/text-embedding-3-small' \
  -d '{
    "model": "openclaw/default",
    "input": ["alpha", "beta"]
  }'

注意：

/v1/models 返回 OpenClaw 智能体目标，而不是原始提供商目录。
openclaw/default 始终存在，因此一个稳定标识符可跨环境使用。
后端提供商/模型覆盖应放在 x-openclaw-model 中，而不是 OpenAI 的 model 字段。
/v1/embeddings 支持将 input 设为字符串或字符串数组。

📄 OpenResponses API

原文：https://docs.openclaw.ai/zh-CN/gateway/openresponses-http-api

OpenClaw 的 Gateway 网关可以提供与 OpenResponses 兼容的 POST /v1/responses 端点。

此端点默认禁用。请先在配置中启用它。

POST /v1/responses
与 Gateway 网关使用相同端口（WS + HTTP 多路复用）：http://<gateway-host>:<port>/v1/responses

在内部，请求会作为普通 Gateway 网关智能体运行来执行（与
openclaw agent 相同的代码路径），因此路由/权限/配置与你的 Gateway 网关一致。

认证、安全和路由

运行行为与 OpenAI 聊天补全一致：

使用匹配的 Gateway 网关 HTTP 认证路径：
共享密钥认证（gateway.auth.mode="token" 或 "password"）：Authorization: Bearer <token-or-password>
可信代理认证（gateway.auth.mode="trusted-proxy"）：来自已配置可信代理来源的身份感知代理标头；同主机 loopback 代理需要显式设置 gateway.auth.trustedProxy.allowLoopback = true
私有入口开放认证（gateway.auth.mode="none"）：无认证标头
将该端点视为拥有 Gateway 网关实例的完整操作员访问权限
对于共享密钥认证模式（token 和 password），忽略范围更窄的 bearer 声明的 x-openclaw-scopes 值，并恢复正常的完整操作员默认值
对于带可信身份的 HTTP 模式（例如可信代理认证或 gateway.auth.mode="none"），在存在 x-openclaw-scopes 时遵循它，否则回退到正常的操作员默认作用域集
使用 model: "openclaw"、model: "openclaw/default"、model: "openclaw/<agentId>" 或 x-openclaw-agent-id 选择智能体
当你想覆盖所选智能体的后端模型时，使用 x-openclaw-model
使用 x-openclaw-session-key 进行显式会话路由
当你想使用非默认的合成入口渠道上下文时，使用 x-openclaw-message-channel

认证矩阵：

gateway.auth.mode="token" 或 "password" + Authorization: Bearer ...
证明拥有共享 Gateway 网关操作员密钥
忽略范围更窄的 x-openclaw-scopes
恢复完整的默认操作员作用域集：
operator.admin、operator.approvals、operator.pairing、
operator.read、operator.talk.secrets、operator.write
将此端点上的聊天轮次视为所有者发送者轮次
带可信身份的 HTTP 模式（例如可信代理认证，或私有入口上的 gateway.auth.mode="none"）
当标头存在时遵循 x-openclaw-scopes
当标头不存在时回退到正常的操作员默认作用域集
只有当调用方显式缩小作用域并省略 operator.admin 时，才会失去所有者语义

使用 gateway.http.endpoints.responses.enabled 启用或禁用此端点。

同一兼容性表面还包括：

GET /v1/models
GET /v1/models/{id}
POST /v1/embeddings
POST /v1/chat/completions

有关智能体目标模型、openclaw/default、embeddings 直通以及后端模型覆盖如何协同工作的规范说明，请参阅 OpenAI 聊天补全和模型列表和智能体路由。

会话行为

默认情况下，该端点每个请求都是无状态的（每次调用都会生成一个新的会话键）。

如果请求包含 OpenResponses user 字符串，Gateway 网关会从中派生稳定的会话键，
因此重复调用可以共享一个智能体会话。

请求形状（支持）

请求遵循 OpenResponses API，使用基于条目的输入。当前支持：

input：字符串或条目对象数组。
instructions：合并到系统提示中。
tools：客户端工具定义（函数工具）。
tool_choice：筛选或要求客户端工具。
stream：启用 SSE 流式传输。
max_output_tokens：尽力而为的输出限制（取决于提供商）。
user：稳定的会话路由。

接受但当前会忽略：

max_tool_calls
reasoning
metadata
store
truncation

支持：

previous_response_id：当请求保持在同一智能体/user/请求的会话作用域内时，OpenClaw 会复用先前的响应会话。

条目（输入）

`message`

角色：system、developer、user、assistant。

system 和 developer 会追加到系统提示中。
最近的 user 或 function_call_output 条目会成为“当前消息”。
较早的 user/assistant 消息会作为上下文历史包含在内。

`function_call_output`（基于轮次的工具）

将工具结果发回给模型：

{
  "type": "function_call_output",
  "call_id": "call_123",
  "output": "{\"temperature\": \"72F\"}"
}

`reasoning` 和 `item_reference`

为架构兼容性而接受，但在构建提示时会忽略。

工具（客户端函数工具）

使用 tools: [{ type: "function", function: { name, description?, parameters? } }] 提供工具。

如果智能体决定调用工具，响应会返回一个 function_call 输出条目。
然后你发送包含 function_call_output 的后续请求以继续该轮次。

图像（`input_image`）

支持 base64 或 URL 来源：

{
  "type": "input_image",
  "source": { "type": "url", "url": "https://example.com/image.png" }
}

允许的 MIME 类型（当前）：image/jpeg、image/png、image/gif、image/webp、image/heic、image/heif。
最大大小（当前）：10MB。

文件（`input_file`）

支持 base64 或 URL 来源：

{
  "type": "input_file",
  "source": {
    "type": "base64",
    "media_type": "text/plain",
    "data": "SGVsbG8gV29ybGQh",
    "filename": "hello.txt"
  }
}

允许的 MIME 类型（当前）：text/plain、text/markdown、text/html、text/csv、
application/json、application/pdf。

最大大小（当前）：5MB。

当前行为：

文件内容会被解码并添加到系统提示，而不是用户消息，
因此它保持临时性（不会持久化到会话历史中）。
解码后的文件文本在添加前会被包装为不可信外部内容，
因此文件字节会被视为数据，而不是可信指令。
注入的块使用显式边界标记，例如
<<<EXTERNAL_UNTRUSTED_CONTENT id="...">>> /
<<<END_EXTERNAL_UNTRUSTED_CONTENT id="...">>>，并包含一行
Source: External 元数据。
此文件输入路径有意省略较长的 SECURITY NOTICE: 横幅，以
保留提示预算；边界标记和元数据仍会保留。
会先解析 PDF 中的文本。如果发现的文本很少，前几页会
光栅化为图像并传递给模型，注入的文件块会使用
占位符 [PDF content rendered to images]。

PDF 解析由内置的 document-extract 插件提供，该插件使用
对 Node 友好的 pdfjs-dist legacy 构建（无 worker）。现代 PDF.js 构建
需要浏览器 worker/DOM 全局对象，因此 Gateway 网关中不会使用它。

URL 获取默认值：

files.allowUrl：true
images.allowUrl：true
maxUrlParts：8（每个请求中基于 URL 的 input_file + input_image 部分总数）
请求会受到防护（DNS 解析、私有 IP 阻断、重定向上限、超时）。
每种输入类型支持可选主机名允许列表（files.urlAllowlist、images.urlAllowlist）。
精确主机："cdn.example.com"
通配子域："*.assets.example.com"（不匹配 apex）
空的或省略的允许列表表示不限制主机名允许列表。
若要完全禁用基于 URL 的获取，请设置 files.allowUrl: false 和/或 images.allowUrl: false。

文件 + 图像限制（配置）

默认值可在 gateway.http.endpoints.responses 下调整：

{
  gateway: {
    http: {
      endpoints: {
        responses: {
          enabled: true,
          maxBodyBytes: 20000000,
          maxUrlParts: 8,
          files: {
            allowUrl: true,
            urlAllowlist: ["cdn.example.com", "*.assets.example.com"],
            allowedMimes: [
              "text/plain",
              "text/markdown",
              "text/html",
              "text/csv",
              "application/json",
              "application/pdf",
            ],
            maxBytes: 5242880,
            maxChars: 200000,
            maxRedirects: 3,
            timeoutMs: 10000,
            pdf: {
              maxPages: 4,
              maxPixels: 4000000,
              minTextChars: 200,
            },
          },
          images: {
            allowUrl: true,
            urlAllowlist: ["images.example.com"],
            allowedMimes: [
              "image/jpeg",
              "image/png",
              "image/gif",
              "image/webp",
              "image/heic",
              "image/heif",
            ],
            maxBytes: 10485760,
            maxRedirects: 3,
            timeoutMs: 10000,
          },
        },
      },
    },
  },
}

省略时的默认值：

maxBodyBytes：20MB
maxUrlParts：8
files.maxBytes：5MB
files.maxChars：200k
files.maxRedirects：3
files.timeoutMs：10s
files.pdf.maxPages：4
files.pdf.maxPixels：4,000,000
files.pdf.minTextChars：200
images.maxBytes：10MB
images.maxRedirects：3
images.timeoutMs：10s
HEIC/HEIF input_image 来源会被接受，并在交付给提供商前规范化为 JPEG。

安全注意事项：

URL 允许列表会在获取前和重定向跳转时强制执行。
将主机名加入允许列表不会绕过私有/内部 IP 阻断。
对于暴露在互联网上的 Gateway 网关，除了应用级防护外，还应应用网络出站控制。
请参阅安全。

流式传输（SSE）

设置 stream: true 以接收服务器发送事件（SSE）：

Content-Type: text/event-stream
每个事件行都是 event: <type> 和 data: <json>
流以 data: [DONE] 结束

当前发出的事件类型：

response.created
response.in_progress
response.output_item.added
response.content_part.added
response.output_text.delta
response.output_text.done
response.content_part.done
response.output_item.done
response.completed
response.failed（出错时）

用量

当底层提供商报告 token 计数时，会填充 usage。
OpenClaw 会在这些计数器到达下游状态/会话表面之前，规范化常见的 OpenAI 风格别名，
包括 input_tokens / output_tokens
以及 prompt_tokens / completion_tokens。

错误

错误使用如下 JSON 对象：

{ "error": { "message": "...", "type": "invalid_request_error" } }

常见情况：

401 缺失/无效认证
400 无效请求正文
405 方法错误

示例

非流式传输：

curl -sS http://127.0.0.1:18789/v1/responses \
  -H 'Authorization: Bearer YOUR_TOKEN' \
  -H 'Content-Type: application/json' \
  -H 'x-openclaw-agent-id: main' \
  -d '{
    "model": "openclaw",
    "input": "hi"
  }'

流式传输：

curl -N http://127.0.0.1:18789/v1/responses \
  -H 'Authorization: Bearer YOUR_TOKEN' \
  -H 'Content-Type: application/json' \
  -H 'x-openclaw-agent-id: main' \
  -d '{
    "model": "openclaw",
    "stream": true,
    "input": "hi"
  }'

📄 工具调用 API

原文：https://docs.openclaw.ai/zh-CN/gateway/tools-invoke-http-api

OpenClaw 的 Gateway 网关提供一个简单的 HTTP 端点，用于直接调用单个工具。它始终启用，并使用 Gateway 网关认证和工具策略。与 OpenAI 兼容的 /v1/* 表面一样，共享密钥 bearer 认证会被视为整个 Gateway 网关的受信任操作员访问权限。

POST /tools/invoke
与 Gateway 网关相同的端口（WS + HTTP 复用）：http://<gateway-host>:<port>/tools/invoke

默认最大负载大小为 2 MB。

认证

使用 Gateway 网关认证配置。

常见 HTTP 认证路径：

共享密钥认证（gateway.auth.mode="token" 或 "password"）：
Authorization: Bearer <token-or-password>
带受信任身份的 HTTP 认证（gateway.auth.mode="trusted-proxy"）：
通过配置的身份感知代理路由，并让它注入所需的身份标头
私有入口开放认证（gateway.auth.mode="none"）：
不需要认证标头

注意事项：

当 gateway.auth.mode="token" 时，使用 gateway.auth.token（或 OPENCLAW_GATEWAY_TOKEN）。
当 gateway.auth.mode="password" 时，使用 gateway.auth.password（或 OPENCLAW_GATEWAY_PASSWORD）。
当 gateway.auth.mode="trusted-proxy" 时，HTTP 请求必须来自已配置的受信任代理来源；同主机 loopback 代理需要显式设置 gateway.auth.trustedProxy.allowLoopback = true。
如果配置了 gateway.auth.rateLimit 且认证失败次数过多，端点会返回 429 并带有 Retry-After。

安全边界（重要）

将此端点视为 Gateway 网关实例的完整操作员访问表面。

这里的 HTTP bearer 认证不是狭义的按用户范围模型。
此端点的有效 Gateway 网关 token/password 应被视为所有者/操作员凭证。
对于共享密钥认证模式（token 和 password），即使调用方发送更窄的 x-openclaw-scopes 标头，该端点也会恢复正常的完整操作员默认值。
共享密钥认证还会将此端点上的直接工具调用视为所有者发送方轮次。
带受信任身份的 HTTP 模式（例如受信任代理认证，或私有入口上的 gateway.auth.mode="none"）会在存在 x-openclaw-scopes 时遵循它，否则回退到正常的操作员默认范围集。
仅将此端点保留在 loopback/tailnet/私有入口上；不要将它直接暴露到公网。

认证矩阵：

gateway.auth.mode="token" 或 "password" + Authorization: Bearer ...
证明持有共享 Gateway 网关操作员密钥
忽略更窄的 x-openclaw-scopes
恢复完整的默认操作员范围集：
operator.admin、operator.approvals、operator.pairing、
operator.read、operator.talk.secrets、operator.write
将此端点上的直接工具调用视为所有者发送方轮次
带受信任身份的 HTTP 模式（例如受信任代理认证，或私有入口上的 gateway.auth.mode="none"）
认证某个外部受信任身份或部署边界
当标头存在时遵循 x-openclaw-scopes
当标头缺失时回退到正常的操作员默认范围集
仅当调用方显式缩窄范围并省略 operator.admin 时，才会失去所有者语义

请求体

{
  "tool": "sessions_list",
  "action": "json",
  "args": {},
  "sessionKey": "main",
  "dryRun": false
}

字段：

tool（字符串，必填）：要调用的工具名称。
action（字符串，可选）：如果工具 schema 支持 action 且 args 负载省略了它，则映射到 args 中。
args（对象，可选）：工具特定参数。
sessionKey（字符串，可选）：目标会话键。如果省略或为 "main"，Gateway 网关会使用配置的主会话键（遵循 session.mainKey 和默认智能体，或全局范围中的 global）。
dryRun（布尔值，可选）：预留供未来使用；当前会被忽略。

策略 + 路由行为

工具可用性会通过 Gateway 网关智能体使用的同一策略链进行过滤：

tools.profile / tools.byProvider.profile
tools.allow / tools.byProvider.allow
agents.<id>.tools.allow / agents.<id>.tools.byProvider.allow
组策略（如果会话键映射到组或渠道）
子智能体策略（使用子智能体会话键调用时）

如果策略不允许某个工具，端点会返回 404。

重要边界注意事项：

Exec 批准是操作员护栏，不是此 HTTP 端点的单独授权边界。如果某个工具可通过 Gateway 网关认证 + 工具策略在这里访问，/tools/invoke 不会添加额外的逐调用批准提示。
如果 exec 可在这里访问，请将其视为可变更的 shell 表面。拒绝 write、edit、apply_patch 或 HTTP 文件系统写入工具，并不会让 shell 执行变成只读。
不要与不受信任的调用方共享 Gateway 网关 bearer 凭证。如果需要跨信任边界隔离，请运行独立的 Gateway 网关（并且最好使用独立的 OS 用户/主机）。

Gateway 网关 HTTP 默认还会应用硬拒绝列表（即使会话策略允许该工具）：

exec - 直接命令执行（RCE 表面）
spawn - 任意子进程创建（RCE 表面）
shell - shell 命令执行（RCE 表面）
fs_write - 主机上的任意文件变更
fs_delete - 主机上的任意文件删除
fs_move - 主机上的任意文件移动/重命名
apply_patch - 补丁应用可以重写任意文件
sessions_spawn - 会话编排；远程生成智能体属于 RCE
sessions_send - 跨会话消息注入
cron - 持久化自动化控制平面
gateway - Gateway 网关控制平面；防止通过 HTTP 重新配置
nodes - 节点命令中继可触达已配对主机上的 system.run
whatsapp_login - 需要终端 QR 扫描的交互式设置；在 HTTP 上会挂起

你可以通过 gateway.tools 自定义此拒绝列表：

{
  gateway: {
    tools: {
      // Additional tools to block over HTTP /tools/invoke
      deny: ["browser"],
      // Remove tools from the default deny list
      allow: ["gateway"],
    },
  },
}

为帮助组策略解析上下文，你可以选择设置：

x-openclaw-message-channel: <channel>（示例：slack、telegram）
x-openclaw-account-id: <accountId>（存在多个账号时）

响应

200 → { ok: true, result }
400 → { ok: false, error: { type, message } }（无效请求或工具输入错误）
401 → 未授权
429 → 认证被限速（设置了 Retry-After）
404 → 工具不可用（未找到或未列入允许列表）
405 → 方法不允许
500 → { ok: false, error: { type, message } }（意外工具执行错误；消息已清理）

示例

curl -sS http://127.0.0.1:18789/tools/invoke \
  -H 'Authorization: Bearer secret' \
  -H 'Content-Type: application/json' \
  -d '{
    "tool": "sessions_list",
    "action": "json",
    "args": {}
  }'

📄 CLI 后端

原文：https://docs.openclaw.ai/zh-CN/gateway/cli-backends

OpenClaw 可以在 API 提供商宕机、受到速率限制或临时异常时，将 本地 AI CLI 作为 纯文本后备 运行。这是有意采用的保守设计：

OpenClaw 工具不会被直接注入，但带有 bundleMcp: true
的后端可以通过 loopback MCP 桥接接收 Gateway 网关工具。
对支持的 CLI 使用 JSONL 流式传输。
支持会话（因此后续轮次能保持连贯）。
如果 CLI 接受图片路径，可以传递图片。

它被设计为 安全网，而不是主要路径。当你想要不依赖外部 API 的“始终可用”文本响应时使用它。

如果你需要带 ACP 会话控制、后台任务、线程/对话绑定和持久外部编码会话的完整 harness 运行时，请改用
ACP Agents。CLI 后端不是 ACP。

正在构建新的后端插件？请使用
CLI 后端插件。本页面面向配置和操作已注册后端的用户。

适合初学者的快速开始

你可以 不使用任何配置 直接使用 Codex CLI（内置 OpenAI 插件会注册一个默认后端）：

openclaw agent --message "hi" --model codex-cli/gpt-5.5

如果你的 Gateway 网关在 launchd/systemd 下运行且 PATH 很精简，只需添加命令路径：

{
  agents: {
    defaults: {
      cliBackends: {
        "codex-cli": {
          command: "/opt/homebrew/bin/codex",
        },
      },
    },
  },
}

就是这样。除了 CLI 本身之外，不需要密钥，也不需要额外的认证配置。

如果你在 Gateway 网关主机上将内置 CLI 后端用作主要消息提供商，当你的配置在模型引用或
agents.defaults.cliBackends
下显式引用该后端时，OpenClaw 现在会自动加载拥有它的内置插件。

作为后备使用

将 CLI 后端添加到你的后备列表中，让它只在主要模型失败时运行：

{
  agents: {
    defaults: {
      model: {
        primary: "anthropic/claude-opus-4-6",
        fallbacks: ["codex-cli/gpt-5.5"],
      },
      models: {
        "anthropic/claude-opus-4-6": { alias: "Opus" },
        "codex-cli/gpt-5.5": {},
      },
    },
  },
}

注意：

如果你使用 agents.defaults.models（允许列表），也必须在那里包含你的 CLI 后端模型。
如果主要提供商失败（认证、速率限制、超时），OpenClaw 会接着尝试 CLI 后端。

配置概览

所有 CLI 后端都位于：

agents.defaults.cliBackends

每个条目都以 提供商 ID 为键（例如 codex-cli、my-cli）。
提供商 ID 会成为你的模型引用左侧：

<provider>/<model>

示例配置

{
  agents: {
    defaults: {
      cliBackends: {
        "codex-cli": {
          command: "/opt/homebrew/bin/codex",
        },
        "my-cli": {
          command: "my-cli",
          args: ["--json"],
          output: "json",
          input: "arg",
          modelArg: "--model",
          modelAliases: {
            "claude-opus-4-6": "opus",
            "claude-sonnet-4-6": "sonnet",
          },
          sessionArg: "--session",
          sessionMode: "existing",
          sessionIdFields: ["session_id", "conversation_id"],
          systemPromptArg: "--system",
          // For CLIs with a dedicated prompt-file flag:
          // systemPromptFileArg: "--system-file",
          // Codex-style CLIs can point at a prompt file instead:
          // systemPromptFileConfigArg: "-c",
          // systemPromptFileConfigKey: "model_instructions_file",
          systemPromptWhen: "first",
          imageArg: "--image",
          imageMode: "repeat",
          // Opt in only if this backend may reseed safe invalidated sessions
          // from bounded raw OpenClaw transcript history before compaction.
          reseedFromRawTranscriptWhenUncompacted: true,
          serialize: true,
        },
      },
    },
  },
}

工作原理

根据提供商前缀（codex-cli/...）选择后端。
使用相同的 OpenClaw 提示词 + 工作区上下文构建系统提示词。
使用会话 ID（如果支持）执行 CLI，以便历史保持一致。
内置 claude-cli 后端会为每个 OpenClaw 会话保持一个 Claude stdio 进程存活，并通过 stream-json stdin 发送后续轮次。
解析输出（JSON 或纯文本）并返回最终文本。
按后端持久化会话 ID，让后续轮次复用同一个 CLI 会话。

再次支持内置 Anthropic claude-cli 后端。Anthropic 员工告诉我们，OpenClaw 风格的 Claude CLI 用法再次被允许，因此除非 Anthropic 发布新政策，否则 OpenClaw 会将 claude -p 用法视为此集成的受认可用法。

内置 OpenAI codex-cli 后端通过 Codex 的 model_instructions_file 配置覆盖（-c model_instructions_file="..."）传递 OpenClaw 的系统提示词。Codex 没有公开 Claude 风格的
--append-system-prompt 标志，因此 OpenClaw 会为每个新的 Codex CLI 会话把组装后的提示词写入临时文件。

内置 Anthropic claude-cli 后端通过两种方式接收 OpenClaw Skills 快照：附加系统提示词中的紧凑 OpenClaw Skills 目录，以及通过 --plugin-dir 传入的临时 Claude Code 插件。该插件只包含该智能体/会话符合条件的 Skills，因此 Claude Code 的原生 Skills 解析器会看到与 OpenClaw 原本会在提示词中公布的相同过滤集合。Skills 环境变量/API key 覆盖仍由 OpenClaw 应用到本次运行的子进程环境中。

Claude CLI 也有自己的非交互式权限模式。OpenClaw 会将其映射到现有 exec 策略，而不是添加 Claude 专用配置：当有效请求的 exec 策略是 YOLO（tools.exec.security: "full" 且
tools.exec.ask: "off"）时，OpenClaw 会添加 --permission-mode bypassPermissions。
每个智能体的 agents.list[].tools.exec 设置会覆盖该智能体的全局 tools.exec。要强制使用不同的 Claude 模式，请在
agents.defaults.cliBackends.claude-cli.args 和匹配的 resumeArgs
下设置显式原始后端参数，例如 --permission-mode default 或 --permission-mode acceptEdits。

内置 Anthropic claude-cli 后端还会将 OpenClaw /think 等级映射到 Claude Code 原生的 --effort 标志，用于非 off 级别。minimal 和
low 映射为 low，adaptive 和 medium 映射为 medium，而 high、
xhigh 和 max 直接映射。其他 CLI 后端需要由其所属插件声明等效的 argv 映射器，/think 才能影响生成的 CLI。

在 OpenClaw 可以使用内置 claude-cli 后端之前，Claude Code 本身必须已在同一主机上登录：

claude auth login
claude auth status --text
openclaw models auth login --provider anthropic --method cli --set-default

仅当 claude 二进制文件尚未在 PATH 上时，才使用 agents.defaults.cliBackends.claude-cli.command。

会话

如果 CLI 支持会话，请设置 sessionArg（例如 --session-id），或者当 ID 需要插入多个标志时设置
sessionArgs（占位符 {sessionId}）。
如果 CLI 使用带有不同标志的 resume 子命令，请设置
resumeArgs（恢复时替代 args），并可选择设置 resumeOutput
（用于非 JSON 恢复）。
sessionMode：
always：始终发送会话 ID（如果没有已存储 ID，则使用新的 UUID）。
existing：仅在之前已存储会话 ID 时发送。
none：永不发送会话 ID。
claude-cli 默认使用 liveSession: "claude-stdio"、output: "jsonl"、
和 input: "stdin"，因此后续轮次会在活动期间复用实时 Claude 进程。现在 warm stdio 是默认行为，包括省略传输字段的自定义配置。如果 Gateway 网关重启或空闲进程退出，OpenClaw 会从已存储的 Claude 会话 ID 恢复。恢复前会根据现有可读项目 transcript 验证已存储会话 ID，因此幻影绑定会以 reason=transcript-missing 清除，而不是在 --resume 下静默启动新的 Claude CLI 会话。
Claude 实时会话保留有界 JSONL 输出保护。默认每轮最多允许 8 MiB 和 20,000 行原始 JSONL。工具密集型 Claude 轮次可以通过
agents.defaults.cliBackends.claude-cli.reliability.outputLimits.maxTurnRawChars
和 maxTurnLines 按后端提高限制；OpenClaw 会将这些设置限制到 64 MiB 和 100,000 行。
已存储的 CLI 会话是提供商拥有的连续性。隐式每日会话重置不会切断它们；/reset 和显式 session.reset 策略仍会切断。
新的 CLI 会话通常只从 OpenClaw 的压缩摘要加压缩后的尾部重新播种。为了恢复在压缩前失效的短会话，后端可以通过
reseedFromRawTranscriptWhenUncompacted: true 选择加入。OpenClaw 仍会保持原始 transcript 重新播种有界，并且仅限于安全失效，例如缺失 CLI transcript、系统提示词/MCP 变更或会话过期重试；认证配置文件或凭据纪元变更绝不会重新播种原始 transcript 历史。

序列化说明：

serialize: true 会保持同一通道运行有序。
大多数 CLI 在一个提供商通道上序列化。
当选定的认证身份发生变化时，OpenClaw 会放弃复用已存储的 CLI 会话，包括认证配置文件 ID、静态 API key、静态令牌，或 CLI 暴露的 OAuth 账户身份发生变化。OAuth 访问令牌和刷新令牌轮换不会切断已存储的 CLI 会话。如果 CLI 未暴露稳定的 OAuth 账户 ID，OpenClaw 会让该 CLI 强制执行恢复权限。

来自 claude-cli 会话的后备前导内容

当 claude-cli 尝试故障转移到
agents.defaults.model.fallbacks 中的非 CLI 候选项时，OpenClaw 会使用从 ~/.claude/projects/ 下 Claude Code 本地 JSONL transcript 收集到的上下文前导内容为下一次尝试播种。如果没有这个播种，后备提供商会冷启动，因为 OpenClaw 自己的会话 transcript 对 claude-cli 运行是空的。

前导内容优先使用最新的 /compact 摘要或 compact_boundary
标记，然后在字符预算内追加最近的边界后轮次。边界前轮次会被丢弃，因为摘要已经代表了它们。
工具块会被合并为紧凑的 (tool call: name) 和
(tool result: …) 提示，以保持提示词预算准确。如果摘要溢出，会标记为
(truncated)。
同提供商的 claude-cli 到 claude-cli 后备依赖 Claude 自己的
--resume，并跳过前导内容。
播种会复用现有 Claude 会话文件路径验证，因此无法读取任意路径。

图片（透传）

如果你的 CLI 接受图片路径，请设置 imageArg：

imageArg: "--image",
imageMode: "repeat"

OpenClaw 会将 base64 图片写入临时文件。如果设置了 imageArg，这些路径会作为 CLI 参数传递。如果缺少 imageArg，OpenClaw 会将文件路径附加到提示词中（路径注入），这对于会从普通路径自动加载本地文件的 CLI 来说已经足够。

输入 / 输出

output: "json"（默认）会尝试解析 JSON 并提取文本 + 会话 ID。
对于 Gemini CLI JSON 输出，当 usage 缺失或为空时，OpenClaw 会从 response 读取回复文本，并从
stats 读取用量。
output: "jsonl" 会解析 JSONL 流（例如 Codex CLI --json），并提取最终智能体消息以及存在的会话标识符。
output: "text" 将 stdout 视为最终响应。

输入模式：

input: "arg"（默认）将提示词作为最后一个 CLI 参数传递。
input: "stdin" 通过 stdin 发送提示词。
如果提示词很长且设置了 maxPromptArgChars，会使用 stdin。

默认值（插件拥有）

内置 OpenAI 插件还会为 codex-cli 注册默认值：

command: "codex"
args: ["exec","--json","--color","never","--sandbox","workspace-write","--skip-git-repo-check"]
resumeArgs: ["exec","resume","{sessionId}","-c","sandbox_mode=\"workspace-write\"","--skip-git-repo-check"]
output: "jsonl"
resumeOutput: "text"
modelArg: "--model"
imageArg: "--image"
sessionMode: "existing"

内置的 Google 插件也会为 google-gemini-cli 注册默认配置：

command: "gemini"
args: ["--output-format", "json", "--prompt", "{prompt}"]
resumeArgs: ["--resume", "{sessionId}", "--output-format", "json", "--prompt", "{prompt}"]
imageArg: "@"
imagePathScope: "workspace"
modelArg: "--model"
sessionMode: "existing"
sessionIdFields: ["session_id", "sessionId"]

前提条件：本地 Gemini CLI 必须已安装，并且能作为 PATH 上的
gemini 使用（brew install gemini-cli 或
npm install -g @google/gemini-cli）。

Gemini CLI JSON 注意事项：

回复文本从 JSON 的 response 字段读取。
当 usage 缺失或为空时，Usage 会回退到 stats。
stats.cached 会被规范化为 OpenClaw 的 cacheRead。
如果缺少 stats.input，OpenClaw 会根据
stats.input_tokens - stats.cached 推导输入 token。

仅在需要时覆盖（常见情况：绝对 command 路径）。

插件拥有的默认配置

CLI 后端默认配置现在属于插件公开接口：

插件通过 api.registerCliBackend(...) 注册它们。
后端 id 会成为模型引用中的提供商前缀。
agents.defaults.cliBackends.<id> 中的用户配置仍会覆盖插件默认配置。
后端特定的配置清理由可选的 normalizeConfig 钩子保持插件拥有。

需要很小的提示词/消息兼容性 shim 的插件，可以声明双向文本转换，而不必替换提供商或 CLI 后端：

api.registerTextTransforms({
  input: [
    { from: /red basket/g, to: "blue basket" },
    { from: /paper ticket/g, to: "digital ticket" },
    { from: /left shelf/g, to: "right shelf" },
  ],
  output: [
    { from: /blue basket/g, to: "red basket" },
    { from: /digital ticket/g, to: "paper ticket" },
    { from: /right shelf/g, to: "left shelf" },
  ],
});

input 会重写传给 CLI 的系统提示词和用户提示词。output
会在 OpenClaw 处理自身控制标记和渠道投递之前，重写流式 assistant 增量和解析后的最终文本。

对于会发出兼容 Claude Code stream-json 的 JSONL 的 CLI，请在该后端的配置上设置
jsonlDialect: "claude-stream-json"。

捆绑 MCP 覆盖层

CLI 后端不会直接接收 OpenClaw 工具调用，但后端可以通过 bundleMcp: true
选择启用生成的 MCP 配置覆盖层。

当前内置行为：

claude-cli：生成严格的 MCP 配置文件
codex-cli：为 mcp_servers 提供内联配置覆盖；生成的 OpenClaw loopback 服务器会标记 Codex 的按服务器工具审批模式，这样 MCP 调用不会因本地审批提示而停滞
google-gemini-cli：生成 Gemini 系统设置文件

启用捆绑 MCP 后，OpenClaw 会：

生成一个 loopback HTTP MCP 服务器，向 CLI 进程暴露 Gateway 网关工具
使用每会话 token（OPENCLAW_MCP_TOKEN）对桥接进行身份验证
将工具访问限定在当前会话、账号和渠道上下文内
为当前工作区加载已启用的捆绑 MCP 服务器
将它们与任何现有后端 MCP 配置/设置结构合并
使用拥有该后端的插件提供的集成模式重写启动配置

如果没有启用 MCP 服务器，当后端选择启用捆绑 MCP 时，OpenClaw 仍会注入严格配置，以保持后台运行隔离。

会话范围的捆绑 MCP 运行时会被缓存以便在会话内复用，然后在空闲
mcp.sessionIdleTtlMs 毫秒后回收（默认 10
分钟；设为 0 可禁用）。一次性嵌入式运行，例如身份验证探测、
slug 生成和主动记忆回忆，会在运行结束时请求清理，确保 stdio
子进程和 Streamable HTTP/SSE 流不会比本次运行存活更久。

限制

没有直接的 OpenClaw 工具调用。 OpenClaw 不会把工具调用注入到
CLI 后端协议中。后端只有在选择启用 bundleMcp: true 时才会看到
Gateway 网关工具。
流式传输是后端特定的。 有些后端会流式传输 JSONL；其他后端会缓冲到退出。
结构化输出取决于 CLI 的 JSON 格式。
Codex CLI 会话通过文本输出恢复（不是 JSONL），其结构化程度低于初始的 --json 运行。OpenClaw 会话仍会正常工作。

故障排除

找不到 CLI：将 command 设置为完整路径。
模型名称错误：使用 modelAliases 将 provider/model 映射到 CLI 模型。
没有会话连续性：确保已设置 sessionArg，且 sessionMode 不是
none（Codex CLI 目前无法使用 JSON 输出恢复）。
图片被忽略：设置 imageArg（并验证 CLI 支持文件路径）。

📄 本地模型

原文：https://docs.openclaw.ai/zh-CN/gateway/local-models

本地模型是可行的。它们也会提高对硬件、上下文大小和提示注入防御的要求，小型或激进量化的显卡会截断上下文并削弱安全性。本页是一份偏向高端本地栈和自定义 OpenAI 兼容本地服务器的指导。若要最低摩擦的新手引导，请从 LM Studio 或 Ollama 以及 openclaw onboard 开始。

对于只应在所选模型需要时才启动的本地服务器，请参阅
本地模型服务。

硬件下限

目标要高：≥2 台满配 Mac Studio 或同等 GPU 设备（约 $30k+），才能获得舒适的 Agent loop。单张 24 GB GPU 只适合较轻的提示，且延迟更高。始终运行你能托管的最大 / 全尺寸变体；小型或重度量化的 checkpoint 会提高提示注入风险（参见安全）。

选择后端

后端	适用场景
LM Studio	首次本地设置、GUI 加载器、原生 Responses API
Ollama	CLI 工作流、模型库、免维护 systemd 服务
MLX / vLLM / SGLang	通过 OpenAI 兼容 HTTP 端点进行高吞吐自托管服务
LiteLLM / OAI-proxy / 自定义 OpenAI 兼容代理	你在前面接入另一个模型 API，并需要 OpenClaw 将其视为 OpenAI

后端支持时使用 Responses API（api: "openai-responses"，LM Studio 支持）。否则保持使用 Chat Completions（api: "openai-completions"）。

WSL2 + Ollama + NVIDIA/CUDA 用户： 官方 Ollama Linux 安装器会启用带有 Restart=always 的 systemd 服务。在 WSL2 GPU 设置中，自动启动可能会在启动期间重新加载上一个模型并占住宿主机内存。如果你的 WSL2 VM 在启用 Ollama 后反复重启，请参阅 WSL2 崩溃循环。

推荐：LM Studio + 大型本地模型（Responses API）

当前最佳本地栈。在 LM Studio 中加载大型模型（例如全尺寸 Qwen、DeepSeek 或 Llama 构建），启用本地服务器（默认 http://127.0.0.1:1234），并使用 Responses API 将推理与最终文本分开。

{
  agents: {
    defaults: {
      model: { primary: "lmstudio/my-local-model" },
      models: {
        "anthropic/claude-opus-4-6": { alias: "Opus" },
        "lmstudio/my-local-model": { alias: "Local" },
      },
    },
  },
  models: {
    mode: "merge",
    providers: {
      lmstudio: {
        baseUrl: "http://127.0.0.1:1234/v1",
        apiKey: "lmstudio",
        api: "openai-responses",
        models: [
          {
            id: "my-local-model",
            name: "Local Model",
            reasoning: false,
            input: ["text"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 196608,
            maxTokens: 8192,
          },
        ],
      },
    },
  },
}

设置清单

安装 LM Studio：https://lmstudio.ai
在 LM Studio 中下载可用的最大模型构建（避免“小型”/重度量化变体），启动服务器，确认 http://127.0.0.1:1234/v1/models 列出了它。
将 my-local-model 替换为 LM Studio 中显示的实际模型 ID。
保持模型已加载；冷加载会增加启动延迟。
如果你的 LM Studio 构建不同，请调整 contextWindow/maxTokens。
对 WhatsApp，坚持使用 Responses API，这样只会发送最终文本。

即使在运行本地模型时，也要保留托管模型配置；使用 models.mode: "merge"，以便 fallback 仍可用。

混合配置：托管主模型，本地 fallback

{
  agents: {
    defaults: {
      model: {
        primary: "anthropic/claude-sonnet-4-6",
        fallbacks: ["lmstudio/my-local-model", "anthropic/claude-opus-4-6"],
      },
      models: {
        "anthropic/claude-sonnet-4-6": { alias: "Sonnet" },
        "lmstudio/my-local-model": { alias: "Local" },
        "anthropic/claude-opus-4-6": { alias: "Opus" },
      },
    },
  },
  models: {
    mode: "merge",
    providers: {
      lmstudio: {
        baseUrl: "http://127.0.0.1:1234/v1",
        apiKey: "lmstudio",
        api: "openai-responses",
        models: [
          {
            id: "my-local-model",
            name: "Local Model",
            reasoning: false,
            input: ["text"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 196608,
            maxTokens: 8192,
          },
        ],
      },
    },
  },
}

本地优先，并带托管安全网

调换主模型和 fallback 顺序；保持相同的 providers 块和 models.mode: "merge"，这样当本地机器不可用时，你可以 fallback 到 Sonnet 或 Opus。

区域托管 / 数据路由

托管的 MiniMax/Kimi/GLM 变体也存在于 OpenRouter 上，并提供区域固定端点（例如美国托管）。在那里选择区域变体，可以在仍通过 models.mode: "merge" 使用 Anthropic/OpenAI fallback 的同时，将流量保留在你选择的司法辖区内。
仅本地仍是最强的隐私路径；当你需要提供商功能但又希望控制数据流时，托管区域路由是折中方案。

其他 OpenAI 兼容本地代理

如果 MLX（mlx_lm.server）、vLLM、SGLang、LiteLLM、OAI-proxy 或自定义
Gateway 网关暴露 OpenAI 风格的 /v1/chat/completions
端点，它们就可以工作。除非后端明确
记录支持 /v1/responses，否则使用 Chat Completions 适配器。将上面的 provider 块替换为你的
端点和模型 ID：

{
  agents: {
    defaults: {
      model: { primary: "local/my-local-model" },
    },
  },
  models: {
    mode: "merge",
    providers: {
      local: {
        baseUrl: "http://127.0.0.1:8000/v1",
        apiKey: "sk-local",
        api: "openai-completions",
        timeoutSeconds: 300,
        models: [
          {
            id: "my-local-model",
            name: "Local Model",
            reasoning: false,
            input: ["text"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 120000,
            maxTokens: 8192,
          },
        ],
      },
    },
  },
}

如果在带 baseUrl 的自定义提供商上省略 api，OpenClaw 默认使用
openai-completions。127.0.0.1 等 loopback 端点会被
自动信任；LAN、tailnet 和私有 DNS 端点仍然需要
request.allowPrivateNetwork: true。

models.providers.<id>.models[].id 值是提供商本地的。不要
在那里包含提供商前缀。例如，使用
mlx_lm.server --model mlx-community/Qwen3-30B-A3B-6bit 启动的 MLX 服务器应使用此
目录 ID 和模型引用：

models.providers.mlx.models[].id: "mlx-community/Qwen3-30B-A3B-6bit"
agents.defaults.model.primary: "mlx/mlx-community/Qwen3-30B-A3B-6bit"

在本地或代理的视觉模型上设置 input: ["text", "image"]，这样图像
附件会被注入到智能体轮次中。交互式自定义提供商
新手引导会推断常见视觉模型 ID，并只询问未知名称。
非交互式新手引导使用相同推断；对于未知视觉 ID，使用 --custom-image-input，
对于端点后面看起来已知但实际仅文本的模型，使用 --custom-text-input。

保持 models.mode: "merge"，以便托管模型仍可作为 fallback 使用。
在提升 agents.defaults.timeoutSeconds 之前，先为慢速本地或远程模型
服务器使用 models.providers.<id>.timeoutSeconds。提供商超时
仅应用于模型 HTTP 请求，包括连接、headers、body 流式传输，
以及总的 guarded-fetch 中止。

对于自定义 OpenAI 兼容提供商，当 baseUrl 解析到 loopback、私有 LAN、.local 或裸主机名时，持久化类似 apiKey: "ollama-local" 的非机密本地标记是可接受的。OpenClaw 会将其视为有效的本地凭据，而不是报告缺少 key。对于任何接受公共主机名的提供商，请使用真实值。

本地/代理 /v1 后端的行为说明：

OpenClaw 将这些视为代理风格的 OpenAI 兼容路由，而不是原生
OpenAI 端点
原生 OpenAI 专属请求塑形不适用于这里：没有
service_tier，没有 Responses store，没有 OpenAI 推理兼容 payload
塑形，也没有 prompt-cache 提示
隐藏的 OpenClaw 归因 headers（originator、version、User-Agent）
不会注入到这些自定义代理 URL 上

更严格的 OpenAI 兼容后端的兼容性说明：

某些服务器在 Chat Completions 上只接受字符串 messages[].content，不接受
结构化 content-part 数组。对于这些端点，请设置
models.providers.<provider>.models[].compat.requiresStringContent: true。
某些本地模型会以文本形式发出独立的括号工具请求，例如
[tool_name] 后跟 JSON 和 [END_TOOL_REQUEST]。只有当名称完全匹配该轮次已注册的
工具时，OpenClaw 才会将它们提升为真实工具调用；否则该块会被视为不受支持的文本，并从
用户可见回复中隐藏。
如果模型发出看起来像工具调用的 JSON、XML 或 ReAct 风格文本，
但提供商没有发出结构化调用，OpenClaw 会将其保留为
文本，并记录一条 warning，其中包含 run id、提供商/模型、检测到的模式，以及
可用时的工具名称。应将其视为提供商/模型工具调用
不兼容，而不是已完成的工具运行。
如果工具以 assistant 文本形式出现而不是运行，例如原始 JSON、
XML、ReAct 语法，或提供商响应中的空 tool_calls 数组，
请先确认服务器正在使用支持工具调用的 chat template/parser。对于
OpenAI 兼容 Chat Completions 后端，如果其 parser 仅在强制工具
使用时才工作，请设置每模型请求覆盖，而不是依赖文本
解析：

json5 { agents: { defaults: { models: { "local/my-local-model": { params: { extra_body: { tool_choice: "required", }, }, }, }, }, }, }

仅在每个正常轮次都应调用工具的模型/会话中使用此设置。
它会覆盖 OpenClaw 的默认代理值 tool_choice: "auto"。
将 local/my-local-model 替换为
openclaw models list 显示的确切提供商/模型引用。

bash openclaw config set agents.defaults.models '{"local/my-local-model":{"params":{"extra_body":{"tool_choice":"required"}}}}' --strict-json --merge

如果自定义 OpenAI 兼容模型接受内置 profile 之外的 OpenAI 推理 effort，
请在模型 compat 块上声明它们。在这里添加 "xhigh"
会让 /think xhigh、会话选择器、Gateway 网关验证和 llm-task
验证针对该配置的提供商/模型引用暴露此级别：

json5 { models: { providers: { local: { baseUrl: "http://127.0.0.1:8000/v1", apiKey: "sk-local", api: "openai-responses", models: [ { id: "gpt-5.4", name: "GPT 5.4 via local proxy", reasoning: true, input: ["text"], cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 }, contextWindow: 196608, maxTokens: 8192, compat: { supportedReasoningEfforts: ["low", "medium", "high", "xhigh"], reasoningEffortMap: { xhigh: "xhigh" }, }, }, ], }, }, }, }

更小或更严格的后端

如果模型加载正常，但完整的智能体轮次行为异常，请自上而下排查：先确认传输，再缩小问题范围。

确认本地模型本身会响应。 不使用工具，不使用智能体上下文：

bash openclaw infer model run --local --model <provider/model> --prompt "Reply with exactly: pong" --json

确认 Gateway 网关路由。 只发送提供的提示词，跳过 transcript、AGENTS bootstrap、context-engine assembly、工具和内置 MCP servers，但仍会验证 Gateway 网关路由、身份验证和提供商选择：

bash openclaw infer model run --gateway --model <provider/model> --prompt "Reply with exactly: pong" --json

尝试精简模式。 如果两个探针都通过，但真实智能体轮次因工具调用格式错误或提示词过大而失败，请启用 agents.defaults.experimental.localModelLean: true。它会移除三个最重的默认工具（browser、cron、message），让提示词形态更小、更不脆弱。有关完整说明、适用场景以及如何确认已启用，请参阅实验性功能 → 本地模型精简模式。
最后手段是完全禁用工具。 如果精简模式仍不够，请为该模型条目设置 models.providers.<provider>.models[].compat.supportsTools: false。之后，智能体会在该模型上不使用工具调用运行。
再往后，瓶颈就在上游。 如果启用精简模式并设置 supportsTools: false 后，后端仍然只在更大的 OpenClaw 运行中失败，那么剩余问题通常是上游模型或服务器容量：上下文窗口、GPU 内存、kv-cache 驱逐，或后端 bug。到这一步就不是 OpenClaw 的传输层问题了。

故障排除

Gateway 网关能访问代理吗？curl http://127.0.0.1:1234/v1/models。
LM Studio 模型已卸载？重新加载；冷启动是常见的“卡住”原因。
本地服务器显示 terminated、ECONNRESET，或在轮次中途关闭流？
OpenClaw 会在诊断中记录低基数的 model.call.error.failureKind，以及
OpenClaw 进程的 RSS/堆快照。对于 LM Studio/Ollama 的内存压力，请将该时间戳
与服务器日志或 macOS crash / jetsam 日志对照，以确认模型服务器是否被终止。
OpenClaw 会根据检测到的模型窗口推导上下文窗口预检阈值；如果 agents.defaults.contextTokens 降低了有效窗口，则会根据未设上限的模型窗口推导。低于 20% 且有 8k 下限时会发出警告。硬阻断使用 10% 阈值且有 4k 下限，并受有效上下文窗口限制，因此过大的模型元数据不会拒绝原本有效的用户上限。如果你遇到该预检，请提高服务器/模型上下文限制，或选择更大的模型。
上下文错误？降低 contextWindow，或提高你的服务器限制。
OpenAI 兼容服务器返回 messages[].content ... expected a string？
在该模型条目上添加 compat.requiresStringContent: true。
OpenAI 兼容服务器返回 validation.keys，或提示消息条目只允许 role 和 content？
在该模型条目上添加 compat.strictMessageKeys: true。
直接的小型 /v1/chat/completions 调用可用，但 openclaw infer model run --local
在 Gemma 或其他本地模型上失败？先检查提供商 URL、模型引用、身份验证标记和服务器日志；本地 model run 不包含智能体工具。
如果本地 model run 成功但更大的智能体轮次失败，请用 localModelLean 或 compat.supportsTools: false 减少智能体工具面。
工具调用显示为原始 JSON/XML/ReAct 文本，或提供商返回空的 tool_calls 数组？
不要添加会盲目把 assistant 文本转换为工具执行的代理。先修复服务器聊天模板/解析器。如果模型只有在强制使用工具时才可用，请添加上面的逐模型
params.extra_body.tool_choice: "required" 覆盖，并且只在每个轮次都预期会调用工具的会话中使用该模型条目。
安全：本地模型会跳过提供商侧过滤；保持智能体范围狭窄并开启压缩，以限制提示词注入影响范围。

📄 网络模型

原文：https://docs.openclaw.ai/zh-CN/gateway/network-model

此内容已合并到网络 — 核心模型。

📄 Gateway 网关拥有的配对

原文：https://docs.openclaw.ai/zh-CN/gateway/pairing

在 Gateway 网关拥有的配对中，Gateway 网关是哪些节点可以加入的事实来源。UI（macOS 应用、未来客户端）只是批准或拒绝待处理请求的前端。

重要： WS 节点在 connect 期间使用设备配对（角色 node）。node.pair.* 是独立的配对存储，并且不会门控 WS 握手。只有显式调用 node.pair.* 的客户端才使用此流程。

概念

待处理请求：一个节点请求加入；需要批准。
已配对节点：已批准并签发了身份验证令牌的节点。
传输协议：Gateway 网关 WS 端点会转发请求，但不决定成员资格。（旧版 TCP bridge 支持已移除。）

配对如何工作

节点连接到 Gateway 网关 WS 并请求配对。
Gateway 网关存储一个待处理请求并发出 node.pair.requested。
你批准或拒绝该请求（CLI 或 UI）。
批准后，Gateway 网关签发一个新令牌（重新配对时会轮换令牌）。
节点使用该令牌重新连接，现在已“配对”。

待处理请求会在 5 分钟后自动过期。

CLI 工作流（适合无头环境）

openclaw nodes pending
openclaw nodes approve <requestId>
openclaw nodes reject <requestId>
openclaw nodes status
openclaw nodes remove --node <id|name|ip>
openclaw nodes rename --node <id|name|ip> --name "Living Room iPad"

nodes status 会显示已配对/已连接的节点及其能力。

API 接口面（Gateway 网关协议）

事件：

node.pair.requested - 创建新的待处理请求时发出。
node.pair.resolved - 请求被批准/拒绝/过期时发出。

方法：

node.pair.request - 创建或复用待处理请求。
node.pair.list - 列出待处理 + 已配对节点（operator.pairing）。
node.pair.approve - 批准待处理请求（签发令牌）。
node.pair.reject - 拒绝待处理请求。
node.pair.remove - 移除过时的已配对节点条目。
node.pair.verify - 验证 { nodeId, token }。

注意事项：

node.pair.request 对每个节点是幂等的：重复调用会返回同一个待处理请求。
对同一个待处理节点的重复请求也会刷新存储的节点元数据，以及最新的允许列表声明命令快照，供操作者查看。
批准总是生成全新令牌；node.pair.request 永远不会返回令牌。
操作者作用域级别和批准时检查汇总在
Operator scopes 中。
请求可以包含 silent: true，作为自动批准流程的提示。
node.pair.approve 使用待处理请求声明的命令来强制执行额外批准作用域：
无命令请求：operator.pairing
非 exec 命令请求：operator.pairing + operator.write
system.run / system.run.prepare / system.which 请求：
operator.pairing + operator.admin

节点配对是信任和身份流程，并会签发令牌。它不会按节点固定实时节点命令表面。

实时节点命令来自节点在连接时声明的内容，且会先应用 Gateway 网关的全局节点命令策略（gateway.nodes.allowCommands 和 denyCommands）。
按节点的 system.run 允许和询问策略位于节点的 exec.approvals.node.* 中，而不在配对记录中。

节点命令门控（2026.3.31+）

破坏性变更： 从 2026.3.31 开始，节点命令会被禁用，直到节点配对获得批准。仅靠设备配对不再足以暴露已声明的节点命令。

当节点首次连接时，会自动请求配对。在配对请求获得批准之前，来自该节点的所有待处理节点命令都会被过滤，并且不会执行。一旦通过配对批准建立信任，节点声明的命令将可用，但仍受正常命令策略约束。

这意味着：

以前仅依赖设备配对来暴露命令的节点，现在必须完成节点配对。
配对批准前排队的命令会被丢弃，而不是延后执行。

节点事件信任边界（2026.3.31+）

破坏性变更： 源自节点的运行现在会停留在缩减后的受信任表面上。

源自节点的摘要和相关会话事件会被限制在预期的受信任表面内。以前依赖更广泛主机或会话工具访问权限的通知驱动或节点触发流程可能需要调整。这项加固确保节点事件无法升级为超出节点信任边界所允许范围的主机级工具访问。

持久节点在线状态更新遵循相同的身份边界。node.presence.alive 事件只接受来自已认证节点设备会话的事件，并且只有当设备/节点身份已经配对时才会更新配对元数据。自声明的 client.id 值不足以写入上次在线状态。

自动批准（macOS 应用）

macOS 应用可以在以下情况下选择尝试静默批准：

请求被标记为 silent，并且
应用可以使用同一用户验证到 Gateway 网关主机的 SSH 连接。

如果静默批准失败，它会回退到正常的“批准/拒绝”提示。

受信任 CIDR 设备自动批准

role: node 的 WS 设备配对默认仍为手动。对于 Gateway 网关已经信任网络路径的私有节点网络，操作者可以通过显式 CIDR 或精确 IP 选择启用：

{
  gateway: {
    nodes: {
      pairing: {
        autoApproveCidrs: ["192.168.1.0/24"],
      },
    },
  },
}

安全边界：

未设置 gateway.nodes.pairing.autoApproveCidrs 时禁用。
不存在全局 LAN 或私有网络自动批准模式。
只有没有请求作用域的新鲜 role: node 设备配对符合条件。
操作者、浏览器、Control UI 和 WebChat 客户端保持手动。
角色、作用域、元数据和公钥升级保持手动。
同主机 local loopback 受信任代理标头路径不符合条件，因为该路径可能被本地调用方伪造。

元数据升级自动批准

当已配对设备重新连接且只有非敏感元数据变更（例如显示名称或客户端平台提示）时，OpenClaw 会将其视为 metadata-upgrade。静默自动批准的范围很窄：它只适用于受信任的非浏览器本地重连，并且这些重连已经证明持有本地或共享凭证，包括 OS 版本元数据变更后同主机原生应用的重连。浏览器/Control UI 客户端和远程客户端仍使用显式重新批准流程。作用域升级（从读取到写入/管理员）和公钥变更不符合元数据升级自动批准条件，它们仍作为显式重新批准请求处理。

QR 配对辅助工具

/pair qr 会将配对载荷渲染为结构化媒体，以便移动端和浏览器客户端可以直接扫描。

删除设备也会清理该设备 ID 的所有过期待处理配对请求，因此撤销后 nodes pending 不会显示孤立行。

本地性和转发标头

只有当原始套接字和任何上游代理证据一致时，Gateway 网关配对才会将连接视为 loopback。如果请求到达 loopback，但携带指向非本地来源的 X-Forwarded-For / X-Forwarded-Host / X-Forwarded-Proto 标头，则该转发标头证据会使 loopback 本地性声明失效。随后配对路径需要显式批准，而不是静默地将请求视为同主机连接。关于操作者身份验证的等效规则，请参阅
Trusted Proxy Auth。

存储（本地、私有）

配对状态存储在 Gateway 网关状态目录下（默认 ~/.openclaw）：

~/.openclaw/nodes/paired.json
~/.openclaw/nodes/pending.json

如果你覆盖 OPENCLAW_STATE_DIR，nodes/ 文件夹也会随之移动。

安全注意事项：

令牌是机密；请将 paired.json 视为敏感文件。
轮换令牌需要重新批准（或删除节点条目）。

传输协议行为

传输协议是无状态的；它不存储成员资格。
如果 Gateway 网关离线或配对被禁用，节点无法配对。
如果 Gateway 网关处于远程模式，配对仍会针对远程 Gateway 网关的存储进行。

📄 设备发现和传输协议

原文：https://docs.openclaw.ai/zh-CN/gateway/discovery

OpenClaw 有两个表面上看起来相似、但实际不同的问题：

操作员远程控制：macOS 菜单栏应用控制运行在其他位置的 Gateway 网关。
节点配对：iOS/Android（以及未来的节点）发现 Gateway 网关并安全配对。

设计目标是把所有网络发现/广播都放在 Node Gateway 网关（openclaw gateway）中，并让客户端（Mac 应用、iOS）作为消费者。

术语

Gateway 网关：一个长期运行的 Gateway 网关进程，拥有状态（会话、配对、节点注册表）并运行渠道。大多数设置中每台主机使用一个；也可以使用隔离的多 Gateway 网关设置。
Gateway 网关 WS（控制平面）：默认位于 127.0.0.1:18789 的 WebSocket 端点；可以通过 gateway.bind 绑定到 LAN/tailnet。
直接 WS 传输：面向 LAN/tailnet 的 Gateway 网关 WS 端点（不使用 SSH）。
SSH 传输（回退）：通过 SSH 转发 127.0.0.1:18789 实现远程控制。
旧版 TCP bridge（已移除）：较早的节点传输（参见
Bridge protocol）；不再为
设备发现而广播，也不再属于当前构建的一部分。

协议详情：

为什么同时保留直接连接和 SSH

直接 WS 是同一网络和 tailnet 内的最佳用户体验：
通过 Bonjour 在 LAN 上自动发现
配对令牌 + ACL 由 Gateway 网关拥有
不需要 shell 访问；协议表面可以保持紧凑且可审计
SSH 仍然是通用回退：
只要你有 SSH 访问权限，就可以在任何地方工作（即使跨越不相关的网络）
能够避开 multicast/mDNS 问题
除 SSH 外不需要新的入站端口

设备发现输入（客户端如何知道 Gateway 网关在哪里）

1) Bonjour / DNS-SD 设备发现

Multicast Bonjour 是尽力而为的，且不会跨网络。OpenClaw 也可以通过配置的广域 DNS-SD 域浏览同一个 Gateway 网关信标，因此设备发现可以覆盖：

同一 LAN 上的 local.
用于跨网络设备发现的已配置 unicast DNS-SD 域

目标方向：

启用内置 bonjour 插件时，Gateway 网关 会通过 Bonjour 广播其 WS 端点。该插件会在 macOS 主机上自动启动，在其他位置则需要选择启用。
客户端浏览并显示“选择一个 Gateway 网关”列表，然后存储所选端点。

故障排除和信标详情：Bonjour。

服务信标详情

服务类型：
_openclaw-gw._tcp（Gateway 网关传输信标）
TXT 键（非机密）：
role=gateway
transport=gateway
displayName=<friendly name>（操作员配置的显示名称）
lanHost=<hostname>.local
gatewayPort=18789（Gateway 网关 WS + HTTP）
gatewayTls=1（仅在启用 TLS 时）
gatewayTlsSha256=<sha256>（仅在启用 TLS 且指纹可用时）
canvasPort=<port>（canvas 主机端口；当前在启用 canvas 主机时与 gatewayPort 相同）
tailnetDns=<magicdns>（可选提示；Tailscale 可用时自动检测）
sshPort=<port>（仅 mDNS 完整模式；广域 DNS-SD 可能省略它，此时 SSH 默认值保持为 22）
cliPath=<path>（仅 mDNS 完整模式；广域 DNS-SD 仍会将其写作远程安装提示）

安全说明：

Bonjour/mDNS TXT 记录未经身份验证。客户端必须仅将 TXT 值视为用户体验提示。
路由（主机/端口）应优先使用已解析的服务端点（SRV + A/AAAA），而不是 TXT 提供的 lanHost、tailnetDns 或 gatewayPort。
TLS 固定绝不能允许广播的 gatewayTlsSha256 覆盖之前存储的固定值。
每当所选路由基于安全/TLS 时，iOS/Android 节点在存储首次固定值之前，都应要求明确确认“信任此指纹”（带外验证）。

启用/禁用/覆盖：

openclaw plugins enable bonjour 启用 LAN multicast 广播。
OPENCLAW_DISABLE_BONJOUR=1 禁用广播。
启用 Bonjour 插件且未设置 OPENCLAW_DISABLE_BONJOUR 时，
Bonjour 会在普通主机上广播，并在检测到容器内运行时自动禁用。
空配置 macOS Gateway 网关启动会自动启用该插件；Linux、
Windows 和容器化部署需要显式启用。
仅在主机、macvlan 或其他支持 mDNS 的网络上使用 0；使用 1
强制禁用。
~/.openclaw/openclaw.json 中的 gateway.bind 控制 Gateway 网关绑定模式。
OPENCLAW_SSH_PORT 会在发出 sshPort 时覆盖广播的 SSH 端口。
OPENCLAW_TAILNET_DNS 发布 tailnetDns 提示（MagicDNS）。
OPENCLAW_CLI_PATH 覆盖广播的 CLI 路径。

2) Tailnet（跨网络）

对于 London/Vienna 这类设置，Bonjour 不会有帮助。推荐的“直接”目标是：

Tailscale MagicDNS 名称（首选）或稳定的 tailnet IP。

如果 Gateway 网关能够检测到自己运行在 Tailscale 下，它会将 tailnetDns 发布为客户端的可选提示（包括广域信标）。

macOS 应用现在会在 Gateway 网关设备发现中优先使用 MagicDNS 名称，而不是原始 Tailscale IP。这样可以在 tailnet IP 变化时提升可靠性（例如节点重启或 CGNAT 重新分配后），因为 MagicDNS 名称会自动解析到当前 IP。

对于移动节点配对，设备发现提示不会放宽 tailnet/公网路由上的传输安全：

iOS/Android 仍然要求安全的首次 tailnet/公网连接路径（wss:// 或 Tailscale Serve/Funnel）。
发现的原始 tailnet IP 是路由提示，而不是使用明文远程 ws:// 的许可。
仍然支持私有 LAN 直接连接 ws://。
如果你想要最简单的移动节点 Tailscale 路径，请使用 Tailscale Serve，让设备发现和设置代码都解析到同一个安全的 MagicDNS 端点。

3) 手动 / SSH 目标

没有直接路由（或禁用了直接路由）时，客户端始终可以通过 SSH 转发 loopback Gateway 网关端口来连接。

参见远程访问。

传输选择（客户端策略）

推荐的客户端行为：

如果已配置配对的直接端点且可达，则使用它。
否则，如果设备发现在 local. 或配置的广域域中找到 Gateway 网关，则提供一个一键“使用此 Gateway 网关”的选择，并将其保存为直接端点。
否则，如果配置了 tailnet DNS/IP，则尝试直接连接。
对于 tailnet/公网路由上的移动节点，直接连接意味着安全端点，而不是明文远程 ws://。
否则，回退到 SSH。

配对 + 身份验证（直接传输）

Gateway 网关是节点/客户端准入的事实来源。

配对请求在 Gateway 网关中创建/批准/拒绝（参见 Gateway 网关配对）。
Gateway 网关强制执行：
身份验证（令牌 / 密钥对）
作用域/ACL（Gateway 网关不是每个方法的原始代理）
速率限制

按组件划分的职责

Gateway 网关：广播设备发现信标，拥有配对决策，并托管 WS 端点。
macOS 应用：帮助你选择 Gateway 网关，显示配对提示，并仅将 SSH 用作回退。
iOS/Android 节点：浏览 Bonjour 作为便利方式，并连接到已配对的 Gateway 网关 WS。

📄 Bonjour 设备发现

原文：https://docs.openclaw.ai/zh-CN/gateway/bonjour

OpenClaw 可以使用 Bonjour（mDNS / DNS-SD）来发现活动的 Gateway 网关（WebSocket 端点）。
多播 local. 浏览是一个仅限局域网的便利功能。内置的 bonjour
插件负责局域网播发。它会在 macOS 主机上自动启动，在
Linux、Windows 和容器化 Gateway 网关部署中则需要手动启用。对于跨网络发现，同一个
信标也可以通过配置好的广域 DNS-SD 域发布。发现机制
仍然是尽力而为，并且不会替代基于 SSH 或 Tailnet 的连接。

通过 Tailscale 使用广域 Bonjour（单播 DNS-SD）

如果节点和网关位于不同网络，多播 mDNS 不会跨越这个
边界。你可以通过切换到 Tailscale 上的单播 DNS-SD
（“广域 Bonjour”）来保留相同的发现体验。

高层步骤：

在网关主机上运行一个 DNS 服务器（可通过 Tailnet 访问）。
在专用区域下发布 _openclaw-gw._tcp 的 DNS-SD 记录
（示例：openclaw.internal.）。
配置 Tailscale 拆分 DNS，让你选择的域名通过该
DNS 服务器为客户端（包括 iOS）解析。

OpenClaw 支持任何发现域名；openclaw.internal. 只是一个示例。
iOS/Android 节点会同时浏览 local. 和你配置的广域域名。

Gateway 网关配置（推荐）

{
  gateway: { bind: "tailnet" }, // tailnet-only (recommended)
  discovery: { wideArea: { enabled: true } }, // enables wide-area DNS-SD publishing
}

一次性 DNS 服务器设置（网关主机）

openclaw dns setup --apply

这会安装 CoreDNS，并将其配置为：

仅在网关的 Tailscale 接口上监听 53 端口
从 ~/.openclaw/dns/<domain>.db 提供你选择的域名（示例：openclaw.internal.）

从已连接到 Tailnet 的机器验证：

dns-sd -B _openclaw-gw._tcp openclaw.internal.
dig @<TAILNET_IPV4> -p 53 _openclaw-gw._tcp.openclaw.internal PTR +short

Tailscale DNS 设置

在 Tailscale 管理控制台中：

添加一个指向网关 Tailnet IP 的名称服务器（UDP/TCP 53）。
添加拆分 DNS，让你的发现域名使用该名称服务器。

客户端接受 Tailnet DNS 后，iOS 节点和 CLI 发现就可以在你的发现域名中
浏览 _openclaw-gw._tcp，无需多播。

Gateway 网关监听器安全性（推荐）

Gateway 网关 WS 端口（默认 18789）默认绑定到 loopback。对于局域网/Tailnet
访问，请显式绑定并保持启用认证。

对于仅 Tailnet 的设置：

在 ~/.openclaw/openclaw.json 中设置 gateway.bind: "tailnet"。
重启 Gateway 网关（或重启 macOS 菜单栏应用）。

播发的内容

只有 Gateway 网关会播发 _openclaw-gw._tcp。局域网多播播发由启用的
内置 bonjour 插件提供；广域 DNS-SD 发布仍归 Gateway 网关所有。

服务类型

_openclaw-gw._tcp - 网关传输信标（由 macOS/iOS/Android 节点使用）。

TXT 键（非秘密提示）

Gateway 网关会播发小型非秘密提示，以便 UI 流程更方便：

role=gateway
displayName=<friendly name>
lanHost=<hostname>.local
gatewayPort=<port>（Gateway 网关 WS + HTTP）
gatewayTls=1（仅在启用 TLS 时）
gatewayTlsSha256=<sha256>（仅在启用 TLS 且指纹可用时）
canvasPort=<port>（仅在启用画布主机时；当前与 gatewayPort 相同）
transport=gateway
tailnetDns=<magicdns>（仅 mDNS 完整模式，当 Tailnet 可用时作为可选提示）
sshPort=<port>（仅完整模式；在最小模式和关闭模式中省略）
cliPath=<path>（仅完整模式；在最小模式和关闭模式中省略）

安全说明：

Bonjour/mDNS TXT 记录未经认证。客户端不得将 TXT 视为权威路由信息。
客户端应使用解析出的服务端点（SRV + A/AAAA）进行路由。仅将 lanHost、tailnetDns、gatewayPort 和 gatewayTlsSha256 视为提示。
SSH 自动目标选择同样应使用解析出的服务主机，而不是仅基于 TXT 的提示。
TLS 固定绝不能允许播发的 gatewayTlsSha256 覆盖先前存储的固定指纹。
iOS/Android 节点应将基于发现的直连视为仅限 TLS，并在信任首次出现的指纹前要求用户明确确认。

在 macOS 上调试

有用的内置工具：

浏览实例：

bash dns-sd -B _openclaw-gw._tcp local.

解析一个实例（替换 <instance>）：

bash dns-sd -L "<instance>" _openclaw-gw._tcp local.

如果浏览有效但解析失败，通常是遇到了局域网策略或
mDNS 解析器问题。

在 Gateway 网关日志中调试

Gateway 网关会写入一个滚动日志文件（启动时打印为
gateway log file: ...）。查找 bonjour: 行，尤其是：

bonjour: advertise failed ...
bonjour: suppressing ciao cancellation ...
bonjour: ... name conflict resolved / hostname conflict resolved
bonjour: watchdog detected non-announced service ...
bonjour: disabling advertiser after ... failed restarts ...

看门狗会将活动的 probing、announcing 和新近的冲突重命名视为
进行中状态。如果服务始终未达到 announced，OpenClaw 最终会
重新创建播发器，并在重复失败后为该
Gateway 网关进程禁用 Bonjour，而不是无限期重新播发。

当系统主机名是有效 DNS 标签时，Bonjour 会使用系统主机名作为播发的 .local 主机。
如果系统主机名包含空格、下划线或其他
无效的 DNS 标签字符，OpenClaw 会回退到 openclaw.local。当你需要
显式主机标签时，请在启动 Gateway 网关前设置
OPENCLAW_MDNS_HOSTNAME=<name>。

在 iOS 节点上调试

iOS 节点使用 NWBrowser 发现 _openclaw-gw._tcp。

捕获日志：

Settings → Gateway → Advanced → Discovery Debug Logs
Settings → Gateway → Advanced → Discovery Logs → 复现 → Copy

日志包含浏览器状态转换和结果集变化。

何时启用 Bonjour

Bonjour 会在 macOS 主机上的空配置 Gateway 网关启动时自动启动，因为
本地应用和附近的 iOS/Android 节点通常依赖同一局域网发现。

当同一局域网自动发现在 Linux、Windows 或其他非 macOS 主机上有用时，
请显式启用 Bonjour：

openclaw plugins enable bonjour

启用后，Bonjour 使用 discovery.mdns.mode 决定发布多少 TXT 元数据。
相同模式也会控制广域 DNS-SD 记录中的可选 TXT 提示。
默认模式是 minimal；只有当客户端需要 cliPath 或
sshPort 提示时才使用 full。使用 off 可以在不更改插件
启用状态的情况下抑制局域网多播；当
discovery.wideArea.enabled 为 true 时，广域 DNS-SD 仍可发布最小 Gateway 网关信标。

何时禁用 Bonjour

当局域网多播播发不必要、不可用或有害时，保持 Bonjour 禁用。
常见情况包括非 macOS 服务器、Docker 桥接网络、
WSL，或丢弃 mDNS 多播的网络策略。在这些环境中，
Gateway 网关仍可通过其已发布 URL、SSH、Tailnet 或广域
DNS-SD 访问，但局域网自动发现并不可靠。

当问题属于部署范围时，优先使用现有环境覆盖：

OPENCLAW_DISABLE_BONJOUR=1

这会在不更改插件配置的情况下禁用局域网多播播发。
它适用于 Docker 镜像、服务文件、启动脚本和一次性
调试，因为该设置会随环境消失而消失。

当你明确想为该 OpenClaw 配置关闭内置局域网
发现插件时，请使用插件配置：

openclaw plugins disable bonjour

Docker 注意事项

内置 Bonjour 插件会在检测到的容器中自动禁用局域网多播播发，
前提是未设置 OPENCLAW_DISABLE_BONJOUR。Docker 桥接网络
通常不会在容器和局域网之间转发 mDNS 多播（224.0.0.251:5353），
因此从容器播发很少能让发现功能正常工作。

重要注意事项：

Bonjour 会在 macOS 主机上自动启动，在其他地方则需要手动启用。保持其
禁用不会停止 Gateway 网关；它只会跳过局域网多播播发。
禁用 Bonjour 不会更改 gateway.bind；Docker 仍默认使用
OPENCLAW_GATEWAY_BIND=lan，以便已发布的主机端口可用。
禁用 Bonjour 不会禁用广域 DNS-SD。当 Gateway 网关和节点不在同一局域网时，
使用广域发现或 Tailnet。
在 Docker 外部复用相同的 OPENCLAW_CONFIG_DIR 不会持久化
容器自动禁用策略。
仅对主机网络、macvlan 或其他已知可通过
mDNS 多播的网络设置 OPENCLAW_DISABLE_BONJOUR=0；设置为 1 可强制禁用。

排查已禁用的 Bonjour

如果 Docker 设置后节点不再自动发现 Gateway 网关：

确认 Gateway 网关是在自动、强制开启还是强制关闭模式下运行：

bash docker compose config | grep OPENCLAW_DISABLE_BONJOUR

确认 Gateway 网关本身可通过已发布端口访问：

bash curl -fsS http://127.0.0.1:18789/healthz

当 Bonjour 被禁用时，使用直接目标：
- 控制 UI 或本地工具：http://127.0.0.1:18789
- 局域网客户端：http://<gateway-host>:18789
- 跨网络客户端：Tailnet MagicDNS、Tailnet IP、SSH 隧道或
广域 DNS-SD
如果你在 Docker 中有意启用了 Bonjour 插件，并通过
OPENCLAW_DISABLE_BONJOUR=0 强制播发，请从主机测试多播：

bash dns-sd -B _openclaw-gw._tcp local.

如果浏览结果为空，或 Gateway 网关日志显示重复的 ciao 看门狗
取消，请恢复 OPENCLAW_DISABLE_BONJOUR=1，并使用直接路由或
Tailnet 路由。

常见故障模式

Bonjour 不会跨网络工作：使用 Tailnet 或 SSH。
多播被阻止：某些 Wi-Fi 网络会禁用 mDNS。
播发器卡在 probing/announcing：阻止多播的主机、
容器桥接、WSL 或接口变动，可能会让 ciao 播发器停留在
未播发状态。OpenClaw 会重试几次，然后为当前 Gateway 网关进程禁用 Bonjour，
而不是无限期重启播发器。
Docker 桥接网络：Bonjour 会在检测到的容器中自动禁用。
仅对主机、macvlan 或其他支持
mDNS 的网络设置 OPENCLAW_DISABLE_BONJOUR=0。
睡眠 / 接口变动：macOS 可能会暂时丢失 mDNS 结果；请重试。
浏览有效但解析失败：保持机器名称简单（避免表情符号或
标点），然后重启 Gateway 网关。服务实例名称来自
主机名，因此过于复杂的名称可能会让某些解析器困惑。

转义的实例名称（`\032`）

Bonjour/DNS-SD 经常将服务实例名称中的字节转义为十进制 \DDD
序列（例如空格会变成 \032）。

这在协议层面是正常的。
UI 应解码后再显示（iOS 使用 BonjourEscapes.decode）。

启用 / 禁用 / 配置

macOS 主机会默认自动启动内置的 LAN 设备发现插件。
openclaw plugins enable bonjour 会在未默认启用的主机上启用内置的 LAN 设备发现插件。
openclaw plugins disable bonjour 会通过禁用内置插件来禁用 LAN 多播通告。
OPENCLAW_DISABLE_BONJOUR=1 会在不更改插件配置的情况下禁用 LAN 多播通告；接受的真值为 1、true、yes 和 on（旧版：OPENCLAW_DISABLE_BONJOUR）。
OPENCLAW_DISABLE_BONJOUR=0 会强制开启 LAN 多播通告，包括在检测到的容器内；接受的假值为 0、false、no 和 off。
当 Bonjour 插件已启用且未设置 OPENCLAW_DISABLE_BONJOUR 时，Bonjour 会在常规主机上通告，并在检测到的容器内自动禁用。
gateway.bind（位于 ~/.openclaw/openclaw.json）控制 Gateway 网关绑定模式。
当通告 sshPort 时，OPENCLAW_SSH_PORT 会覆盖 SSH 端口（旧版：OPENCLAW_SSH_PORT）。
启用 mDNS 完整模式时，OPENCLAW_TAILNET_DNS 会在 TXT 中发布 MagicDNS 提示（旧版：OPENCLAW_TAILNET_DNS）。
OPENCLAW_CLI_PATH 会覆盖通告的 CLI 路径（旧版：OPENCLAW_CLI_PATH）。

[OpenClaw 文档]网关与运维--网关

📄 Gateway 网关运行手册

5 分钟本地启动

运行时模型

OpenAI 兼容端点

端口和绑定优先级

热重载模式

操作员命令集

多个 Gateway 网关（同一主机）

远程访问

监督和服务生命周期

开发配置档案快速路径

协议快速参考（操作员视角）

运行检查

存活性

就绪性

缺口恢复

常见故障特征

安全保证

相关

📄 配置

最小配置

编辑配置

严格验证

常见任务

哪些会热应用，哪些需要重启

重载规划

配置 RPC（程序化更新）

环境变量

完整参考

相关

📄 配置示例

快速开始

绝对最小配置

推荐入门配置

扩展示例（主要选项）

符号链接到同级技能仓库

常见模式

带一个覆盖项的共享技能基线

多平台设置

可信节点网络自动批准

安全私信模式（共享收件箱 / 多用户私信）

Anthropic API key + MiniMax 回退

工作机器人（受限访问）

仅使用本地模型

提示

相关

📄 身份验证

推荐设置（API 密钥，任意提供商）

Anthropic：Claude CLI 和 token 兼容性

Anthropic 说明

检查模型身份认证状态

API 密钥轮换行为（Gateway 网关）

控制使用哪个凭证

按会话（聊天命令）

按智能体（CLI 覆盖）

故障排除

“未找到凭证”

Token 即将过期/已过期

相关内容

📄 健康检查

快速检查

深度诊断

健康监控配置

当出现故障时

专用 “health” 命令

相关

📄 Heartbeat

快速开始（初学者）

默认值

Heartbeat 提示的用途

响应契约

配置

范围和优先级

按智能体的 Heartbeat

活动时段示例

24/7 设置

多账号示例

字段说明

递送行为

`tasks:` 块

`--profile rescue onboard` 会更改什么