Guide de déploiement d'OpenClaw : Comment auto-héberger un véritable agent d'IA (Mise à jour 2026)

OpenClaw—l'agent open source surnommé « le Homard »—vit son heure de gloire. Et ce n'est pas qu'un simple chatbot : une fois que vous lui accordez des permissions soigneusement définies, il peut travailler en arrière-plan 24/7—triant votre boîte de réception, envoyant des e-mails, gérant vos calendriers, et bien plus encore. AIPURE (un hub d'outils IA) a préparé ce guide "Élevez votre propre homard" pour vous aider à le faire fonctionner de manière sécurisée—afin que vous puissiez l'héberger vous-même en toute confiance.

OpenClaw (aka Moltbot/Clawdbot)

Vérifié par AIPURE

Free

Multi-purpose Tools

OpenClaw (anciennement Clawdbot/Moltbot) est un assistant d'IA personnel qui s'exécute localement et se connecte à plusieurs plateformes de messagerie tout en tirant parti de grands modèles de langage pour exécuter des tâches autonomes sur différents services.

Visiter le site web

Si vous souhaitez un assistant IA open source qui s'exécute sur votre propre machine ou serveur—et qui peut réellement prendre des actions avec des garde-fous—ce guide de déploiement d'OpenClaw est fait pour vous. Nous guiderons les utilisateurs avancés et les constructeurs sans code à travers deux voies rapides (locale et cloud), des paramètres par défaut sécurisés, des vérifications pratiques, et quelques automatisations non destructives à essayer en premier. L'idée centrale tout au long : la flexibilité de déploiement. Vous pouvez commencer localement, puis passer à un hébergement cloud comme DigitalOcean ou à une PaaS gérée avec un minimum de réaménagement.

Pour des documents autorisés, gardez les ressources officielles à portée de main : le référentiel GitHub d'OpenClaw et la documentation d'installation d'OpenClaw. Lors du déploiement sur une VM cloud simple, le tutoriel DigitalOcean sur l'exécution d'OpenClaw est également utile. Pour le contexte de sécurité des applications agencées, consultez OWASP’s Agentic Top 10 (2026).

Ce dont vous aurez besoin (Lisez ceci en premier)

Avant de commencer, préparez quelques éléments de base pour que votre première exécution se passe sans accroc :

• Un ordinateur ou une VPS avec au moins 2 vCPUs et 4 Go de RAM ; Linux est le plus courant, mais macOS convient bien pour les tests locaux. Pour le cloud, une petite VM avec un stockage SSD est idéale. Les tailles recommandées par le guide communautaire de DigitalOcean sont un bon point de départ.
• Un terminal et un accès SSH (pour le cloud). Vous devriez être à l'aise pour coller des commandes et lire des journaux de base.
• Docker et Docker Compose pour le chemin conteneurisé, ou Node.js (LTS ou plus récent) si vous préférez l'installeur/local build.
• Des clés API pour votre fournisseur de modèle choisi (compatible OpenAI ou modèles locaux via une API), enregistrées de manière sécurisée. Commencez avec des portées en lecture seule autant que possible.
• Un compte utilisateur dédié ou un espace de noms pour les répertoires d'état et de travail d'OpenClaw afin de pouvoir les sauvegarder et les restaurer indépendamment.

Démarrage rapide A : Installation locale en 10-15 minutes

Cette voie vous permet d'obtenir une instance fonctionnelle d'OpenClaw sur votre ordinateur portable ou une station de développement. C'est parfait pour tester l'application avec des paramètres par défaut sécurisés.

1. Préparez votre environnement

• Assurez-vous que Docker et Docker Compose sont installés ; ou installez une version récente de Node.js si vous préférez exécuter depuis le code source. Si vous avez besoin de procédures exactes ou d'alternatives, le guide d'installation officiel couvre les méthodes supportées.
• Créez deux répertoires pour les données persistantes :

mkdir -p ~/.openclaw/statemkdir -p ~/.openclaw/workspace

2. Exécution avec Docker Compose (recommandé pour l'isolation)

Créez un fichier docker-compose.yml minimal dans un dossier vide. Vérifiez la balise d'image correcte dans les docs officiels/releases avant de déployer :

services:  openclaw:    image: openclaw/openclaw:latest    restart: unless-stopped    environment:      - NODE_ENV=production      - OPENCLAW_STATE_DIR=/home/node/.openclaw      - OPENCLAW_WORKSPACE_DIR=/home/node/.openclaw/workspace      - OPENCLAW_GATEWAY_BIND=127.0.0.1      - OPENCLAW_GATEWAY_PORT=18789      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}      - SETUP_PASSWORD=${SETUP_PASSWORD}    user: "1000:1000"  # exécutez en tant qu'utilisateur non-root lorsque possible    volumes:      - ~/.openclaw/state:/home/node/.openclaw      - ~/.openclaw/workspace:/home/node/.openclaw/workspace    ports:      - "127.0.0.1:8080:8080"  # UI/dashboard      - "127.0.0.1:18789:18789"  # API de la passerelle

Créez un fichier .env à côté et définissez des identifiants forts :

OPENCLAW_GATEWAY_TOKEN="change-this-to-a-long-random-string"SETUP_PASSWORD="also-change-this-to-a-strong-password"

Démarrez le service :

docker compose up -d

3. Onboarding et vérification

• Ouvrez le tableau de bord à l'adresse http://127.0.0.1:8080 et complétez l'assistant de configuration avec votre SETUP_PASSWORD. Le démarrage rapide et le flux de l'assistant sont décrits dans le guide de démarrage.
• Ajoutez un canal à faible risque unique (par exemple, Slack ou Discord) et désactivez les écritures de fichiers et les commandes shell initialement.
• Effectuez un test rapide à partir des journaux du conteneur :

docker compose logs --tail=100 openclaw

Vous devriez voir une confirmation que l'exécution est en cours, que la passerelle est liée à 127.0.0.1:18789 et que l'interface utilisateur écoute sur le port 8080.

4. Alternative : À partir du code source (Node.js)

Si vous préférez travailler à partir du code source pour le développement local :

git clone https://github.com/openclaw/openclaw.gitcd openclawpnpm installpnpm dev

Cela lance un serveur de développement local. Utilisez l'assistant en ligne de commande si disponible pour initialiser l'état et définir les identifiants, puis procédez au tableau de bord pour terminer l'onboarding.

Pourquoi commencer localement ? Vous gardez tout sur votre machine, la latence est faible, et vous pouvez confirmer les bases avant de passer à un déploiement cloud multi-utilisateurs. C'est la méthode la plus simple pour apprendre les bases de cet agent d'automatisation IA open source sans risquer les données de production.

Démarrage rapide B : Cloud en 10-20 minutes sur DigitalOcean

Lorsque vous êtes prêt à partager l'accès avec un collègue ou à garder l'assistant en ligne 24/7, une VM cloud à faible coût est pratique. Un chemin courant est une image 1-Clic du marketplace ou une petite Droplet où vous exécutez Docker Compose. Pour des instructions étape par étape de DigitalOcean, consultez le tutoriel communautaire DigitalOcean pour OpenClaw.

1. Créez une Droplet

• Choisissez une taille avec 2 vCPUs et 4 Go de RAM (ou plus si plusieurs canaux/utilisateurs se connecteront).
• Ajoutez votre clé SSH et restreignez les ports entrants à 22 (SSH), 80/443 (si vous placez le tableau de bord derrière un reverse proxy), et le port d'interface utilisateur choisi (8080) si vous testez l'accès direct temporairement.

2. Connectez-vous via SSH et installez Docker

ssh root@your-server-ipapt update && apt install -y docker.io docker-compose git && systemctl enable dockeradduser openclaw && usermod -aG docker openclawsu - openclaw

3. Préparez l'état et Compose

mkdir -p ~/.openclaw/state ~/.openclaw/workspacemkdir ~/svc && cd ~/svc

Créez un fichier docker-compose.yml (similaire à celui local) mais liez le tableau de bord derrière localhost d'abord, puis placez Nginx ou Caddy devant pour TLS plus tard :

services:  openclaw:    image: openclaw/openclaw:latest    restart: unless-stopped    environment:      - NODE_ENV=production      - OPENCLAW_STATE_DIR=/home/openclaw/.openclaw      - OPENCLAW_WORKSPACE_DIR=/home/openclaw/.openclaw/workspace      - OPENCLAW_GATEWAY_BIND=127.0.0.1      - OPENCLAW_GATEWAY_PORT=18789      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}      - SETUP_PASSWORD=${SETUP_PASSWORD}    user: "1000:1000"    volumes:      - /home/openclaw/.openclaw:/home/openclaw/.openclaw      - /home/openclaw/.openclaw/workspace:/home/openclaw/.openclaw/workspace    ports:      - "127.0.0.1:8080:8080"      - "127.0.0.1:18789:18789"

Créez un fichier .env et démarrez le service :

cat > .env << 'EOF'OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32)SETUP_PASSWORD=$(openssl rand -base64 24)EOFdocker compose up -d

4. Ajoutez un reverse proxy (optionnel mais recommandé)

Exposez uniquement HTTPS à Internet et gardez la passerelle sur localhost :

sudo apt install -y nginx certbot python3-certbot-nginxsudo nano /etc/nginx/sites-available/openclaw

Ajoutez un bloc de serveur proxy simple (remplacez le domaine) :

server {  server_name assistant.example.com;  location / {    proxy_pass http://127.0.0.1:8080;    proxy_set_header Host $host;    proxy_set_header X-Real-IP $remote_addr;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_set_header X-Forwarded-Proto $scheme;  }  listen 80;}

Puis activez et sécurisez-le :

sudo ln -s /etc/nginx/sites-available/openclaw /etc/nginx/sites-enabled/sudo nginx -t && sudo systemctl reload nginxsudo certbot --nginx -d assistant.example.com --redirect

5. Vérifiez l'état

• Visitez https://assistant.example.com et complétez l'onboarding.
• Vérifiez les conteneurs et les journaux :

docker compose psdocker compose logs --tail=100

Si vous voyez l'exécution en cours et aucun conflit de ports, vous êtes prêt à aller de l'avant.

Pourquoi DigitalOcean ? Il offre un équilibre entre le coût, le contrôle et la simplicité. Vous conservez l'accès root, mais vous disposez également d'une VM propre et prévisible où OpenClaw peut s'exécuter en continu. Si vous préférez un blueprint PaaS, la documentation d'OpenClaw inclut un exemple de déploiement Render avec un disque persistant et les variables d'environnement requises.

Guide de déploiement d'OpenClaw : Quelle option devez-vous choisir ?

• Locale en premier si vous apprenez ou si vous vous souciez de la confidentialité et de la latence ultra-basse.
• Une petite VM cloud si vous souhaitez un accès permanent pour vous et un collègue.
• Un PaaS géré si vous appréciez les redémarrages automatiques, les vérifications de santé et la gestion facile des disques. Les blueprints de style Render incluent souvent un montage de disque persistant et quelques variables d'environnement requises. Si vous choisissez cette option, assurez-vous que la passerelle reste liée internement et que vous provisionnez un mot de passe de configuration et un jeton au moment du déploiement.

Étape par étape : Le modèle Docker/VPS que vous réutiliserez partout

Utilisez cette séquence chaque fois que vous installez OpenClaw sur n'importe quel fournisseur de VPS :

1. Créez un utilisateur non-root et installez Docker + Compose.
2. Créez des répertoires d'état et de travail persistants dans le répertoire home de cet utilisateur.
3. Liez le tableau de bord et la passerelle à localhost initialement.
4. Générez un mot de passe de configuration fort et un jeton de passerelle et stockez-les dans un fichier .env avec des permissions restreintes.
5. Démarrez le service et complétez l'onboarding.
6. Après avoir testé, ajoutez un reverse proxy et ouvrez les ports à Internet public.

Un petit script de qualité de vie qui encapsule les étapes 2 à 5 peut rendre les déploiements répétitifs triviaux. Gardez-le dans votre dépôt privé avec le domaine, les ports et les chemins des volumes paramétrés.

Paramètres par défaut sécurisés que vous devriez conserver

• Privilèges minimums : Démarrez l'agent avec un accès en lecture seule à un répertoire de test unique. Ne lui permettez pas d'écrire ou d'exécuter des commandes shell jusqu'à ce que vous ayez validé son comportement.
• Identifiants : Utilisez un mot de passe de configuration (SETUP_PASSWORD) et un jeton de passerelle (OPENCLAW_GATEWAY_TOKEN) longs et aléatoires. Changez-les si vous pensez qu'ils ont pu être divulgués ou lorsque un collègue quitte l'équipe.
• Liaisons localhost : Gardez la passerelle liée à 127.0.0.1. Si un outil distant a besoin d'accès, utilisez un reverse proxy ou une solution de réseau privé plutôt que d'exposer le port brut.
• Environnements séparés : Maintenez une instance de développement pour les expérimentations et une instance séparée pour tout document ou flux de travail important.
• Journalisation et revue : Suivez les journaux pendant l'utilisation initiale et examinez les actions tentées par l'agent avant de débloquer des compétences plus puissantes.

Pour un contexte de sécurité plus approfondi et indépendant du fournisseur pendant que vous évoluez, consultez OWASP’s Agentic Top 10 (2026) et les guides de solutions associés.

Dépannage et récupération (solutions rapides)

• Port déjà utilisé : Si le port 8080 ou 18789 est occupé, changez la correspondance du port côté hôte dans docker-compose.yml et redémarrez.
• Mauvais ou manquants identifiants : Si vous ne pouvez pas vous authentifier sur le tableau de bord, réinitialisez le SETUP_PASSWORD dans votre fichier .env, puis redémarrez le conteneur. Pour la passerelle, changez le OPENCLAW_GATEWAY_TOKEN et redéployez.
• Conteneur qui clignote ou s'arrête : Examinez les derniers journaux et vérifiez les permissions des volumes des répertoires d'état/travail mappés. Assurez-vous que le service ne s'exécute pas en tant que root si l'image prévoit un utilisateur non-root.
• Passerelle inaccessible : Confirmez qu'elle est toujours liée à 127.0.0.1 et que votre reverse proxy pointe vers l'upstream correct. Évitez d'exposer directement la passerelle.
• Aucune action lorsqu'on lui demande de faire quelque chose : Confirmez que le canal concerné est connecté et que tous les jetons d'intégration nécessaires sont présents. Essayez une tâche simple en lecture seule en premier (par exemple, « résumer ce fichier texte dans l'espace de travail »).

Commandes utiles que vous utiliserez souvent :

# Statutdocker compose ps# Journaux (suivi)docker compose logs -f --tail=200# Redémarrage après un changement de configurationdocker compose up -d --force-recreate# Inspection des liaisons de portdocker ps --format ' -> '

Si vous suspectez une corruption de l'état ou une mauvaise mise à jour, arrêtez le service, sauvegardez les répertoires d'état/travail, et essayez un démarrage propre avec une nouvelle balise d'image. Vous pouvez réimporter sélectivement à partir de la sauvegarde une fois que le service est de nouveau en bonne santé.

Trois automatisations sécurisées à essayer en premier

1. Résumé du matin pour vous-même

Connectez un canal de chat que vous utilisez déjà. Pointez OpenClaw vers un fichier de calendrier de test dans l'espace de travail et demandez-lui d'envoyer un résumé matinal unique les jours ouvrables. Gardez-le en lecture seule au début pour qu'il ne puisse pas modifier les événements—cela renforce la confiance dans le jugement et la mise en forme de l'assistant.

2. Résumé des pull requests GitHub

Activez l'intégration GitHub et limitez-la à un dépôt de bac à sable. Demandez à OpenClaw de lire la dernière pull request et de publier un court résumé en tant que commentaire. Cela utilise une automatisation réelle (lecture de données distantes et publication) sans toucher à votre système de fichiers local ou exécuter des commandes shell.

3. Vérification de présence de fichier et rappel

Demandez à OpenClaw de vérifier si un fichier spécifique existe dans l'espace de travail à 18 heures, puis envoyez-vous un rappel en chat s'il manque. C'est un test minimal et pratique de la planification et des notifications qui ne nécessite pas d'accès en écriture ou d'un shell.

Ces exemples testent les canaux, la mémoire et les outils de base tout en restant non-destructifs. Au fur et à mesure que vous itérez, vous pouvez étendre les écritures de fichiers sécurisées, puis activer prudemment les commandes shell pour des tâches étroites et bien testées.

Tips pour la mise à niveau, la sauvegarde et la migration

• Versionnement : Dans Docker, utilisez une image avec une balise plutôt que la dernière pour plus de stabilité, puis mettez à niveau intentionnellement.
• Sauvegarde pré-mise à niveau : Arrêtez le conteneur et archivez les répertoires d'état/travail avec une horodatage. Conservez au moins deux instantanés.
• Retour en arrière : Si une mise à niveau ne fonctionne pas correctement, arrêtez le conteneur, revenez à l'image précédente et restaurez l'instantané précédent des répertoires d'état/travail.
• Migration : Pour changer d'hôte, copiez les instantanés sur la nouvelle machine, recréez la même structure de répertoires et les mêmes IDs d'utilisateur, puis démarrez le service avec les mêmes variables d'environnement.

Les sauvegardes prennent quelques minutes et peuvent vous faire gagner des heures de débogage. Voici la procédure : configurez un cron hebdomadaire rapide qui compresse votre état et votre espace de travail dans une archive datée et fait pivoter les anciennes archives.

Précautions de sécurité que vous ne devriez jamais ignorer

OpenClaw est puissant car il agit comme une passerelle vers votre système et vos applications. C'est aussi pourquoi vous devez être prudent avec les permissions et les portées. Réfléchissez à :

• Injection de prompts et abuse d'outils : Soyez sceptique vis-à-vis du contenu provenant de sources non fiables. Désactivez les outils risqués dans les flux de travail qui traitent des entrées inconnues.
• Gestion des secrets : Ne codez jamais en dur les clés API dans les fichiers Compose. Utilisez des variables d'environnement et restreignez l'accès à votre fichier .env. Changez les clés régulièrement.
• Exposition réseau : Préférez les réseaux privés ou des reverse proxies avec TLS et authentification. Ne exposez pas la passerelle brute à Internet public.
• Auditabilité : Conservez les journaux suffisamment longtemps pour pouvoir reconstituer ce qui s'est passé si quelque chose va mal. Examinez les actions de l'assistant avant de lui accorder plus de pouvoir.

Ce ne sont pas des risques théoriques—ce sont les mêmes catégories de problèmes que n'importe quel service d'automatisation peut rencontrer. Le principe du privilège minimum, la séparation des tâches et les audits réguliers sont des mesures efficaces.

Alternatives et quand les considérer

Selon vos objectifs, vous pouvez également explorer d'autres projets open source d'agents qui mettent l'accent sur des compromis différents, tels que des agents centrés sur les IDE ou des assistants axés sur la recherche. Si votre besoin principal est la collaboration de codage dans un IDE de navigateur, vous pourriez préférer un agent adapté à ce domaine. Si vous avez besoin d'une automatisation de navigateur sans interface à grande échelle, un framework spécialisé dans ce domaine pourrait être plus approprié. L'objectif n'est pas de choisir un « gagnant », mais de sélectionner l'outil qui s'aligne avec vos flux de travail et votre tolérance au risque.

Où cela va (et votre prochain pas)

La conception d'OpenClaw—modèle-agnostique, riche en canaux et pilotée par une passerelle—facilite l'adoption de modèles plus récents au fil du temps sans changer les fondamentaux de votre déploiement. Commencez localement avec des paramètres par défaut sécurisés, apprenez comment l'assistant se comporte, puis promouvez-le à une petite VM cloud avec HTTPS et des identifiants stricts. À partir de là, élargissez les intégrations et les portées des permissions uniquement au fur et à mesure que votre confiance grandit.

Si vous souhaitez suivre des conseils pratiques de déploiement et des tutoriels connexes, AIPURE couvre régulièrement des guides pratiques et des revues des nouveaux outils et modèles d'IA. Utilisez-le comme une source neutre pour rester à jour, puis revenez et affinez votre configuration.

FAQ

Comment cela diffère-t-il d'un chatbot typique ?

OpenClaw n'est pas seulement un système de Q&R. Il se connecte à vos fichiers, services et canaux et peut prendre des actions réelles via une passerelle sandboxée avec des garde-fous.

Puis-je utiliser des modèles locaux pour améliorer la confidentialité ou réduire les coûts ?

Oui. OpenClaw est modèle-agnostique. Vous pouvez brancher des LLM basés sur une API ou le diriger vers un modèle local servi via une API. Commencez petit, mesurez la latence et la qualité, puis ajustez en conséquence.

Quelle est la configuration de « production » la plus simple ?

Une petite VM cloud avec Docker Compose, la passerelle liée à localhost, le tableau de bord derrière un reverse proxy HTTPS, et une sauvegarde hebdomadaire des répertoires d'état/travail. Gardez les permissions d'écriture et de shell désactivées jusqu'à ce que vous en ayez besoin.

Comment désinstaller tout proprement ?

Arrêtez et supprimez vos conteneurs, supprimez le répertoire de service avec les fichiers Compose, et archivez ou supprimez les répertoires d'état/travail dans le répertoire home de l'utilisateur dédié. Si vous avez ajouté un reverse proxy, supprimez ce bloc de serveur et révoquez les certificats TLS.

AIPURE

Freemium

AI Tools DirectoryAI Productivity ToolsAI Search Engine

AIPURE est une plateforme complète qui aide les utilisateurs à découvrir et explorer les meilleurs outils et services d'IA de 2024 grâce à une interface de recherche facile à utiliser.

Visiter le site web

Prêt à exécuter votre propre assistant IA local avec une mémoire et des garde-fous sécurisés ? Commencez par le démarrage rapide local dans ce guide de déploiement d'OpenClaw, vérifiez les bases, puis passez à une petite VM cloud lorsque vous serez à l'aise. Vous aurez un assistant d'automatisation IA open source qui effectue réellement des tâches—sur vos propres termes.