OpenClaw Deployment Guide: How to Self Host a Real AI Agent(2026 Update)

OpenClaw—這款開源代理被粉絲暱稱為「龍蝦」—正在風靡一時。它不僅僅是另一個聊天機器人：一旦你授予它精心範圍的權限，它就可以全天候在後台運行—處理你的收件箱、發送電子郵件、管理日曆等。AIPURE（一個 AI 工具中心）編寫了這份「養自己的龍蝦」指南，幫助你安全地運行它—這樣你就可以自信地自托管。

OpenClaw (aka Moltbot/Clawdbot)

Free

Multi-purpose Tools

OpenClaw（以前稱為 Clawdbot/Moltbot）是一個個人 AI 助理，它在本地運行並連接到多個消息平臺，同時利用大型語言模型跨服務執行自主任務。

訪問網站

如果你想要一個可以在你自己的機器或伺服器上運行的開源 AI 助手—並且可以實際採取有防護措施的行動—這份OpenClaw部署指南就是為你準備的。我們將引導高級用戶和無代碼構建者通過兩條快速路徑（本地和雲端）、默認安全設置、實用驗證和一些非破壞性自動化操作來開始。貫穿始終的英雄理念：部署靈活性。你可以從本地開始，然後轉移到像 DigitalOcean 這樣的雲端主機或管理的 PaaS，只需最小的重新工作。

對於權威文檔，請保留官方資源：OpenClaw GitHub 倉庫和OpenClaw 安裝文檔。當部署到簡單的雲端 VM 時，DigitalOcean 關於運行 OpenClaw 的教程也非常有用。有關代理應用程序的安全背景，請參見OWASP 的代理應用程序十大安全問題（2026 年）。

你需要的準備（請先閱讀）

在開始之前，準備好以下基本條件，以確保你的首次運行順利：

一臺至少有 2 個 vCPU 和 4 GB RAM 的計算機或 VPS；最常見的是 Linux，但 macOS 也適合用於本地測試。對於雲端，帶有 SSD 存儲的小型 VM 是最佳選擇。DigitalOcean 的社區指南中的規格是一個很好的基線。
一個終端和 SSH 訪問（用於雲端）。你應該能夠熟練地粘貼命令和閱讀基本日誌。
對於容器化路徑，需要 Docker 和 Docker Compose；如果你偏好本地安裝/構建路徑，則需要 Node.js（LTS 或更新版本）。
你選擇的模型提供商的 API 密鑰（兼容 OpenAI 或通過 API 的本地模型），並安全地保存。盡可能從只讀範圍開始。
一個專用的用戶帳戶或命名空間，用於 OpenClaw 的狀態和工作空間目錄，以便你可以獨立備份和恢復它們。

💡 小貼士：將 OpenClaw 視為一個「門戶」，讓模型執行範圍內的操作。從最小權限開始。你隨時可以擴大權限。

快速開始 A：10-15 分鐘內本地安裝

此路徑可讓你在筆記本電腦或開發機上安裝一個可用的 OpenClaw 實例。它非常適合用安全默認設置進行初步測試。

1. 準備環境

確保已安裝 Docker 和 Docker Compose；或者如果你偏好從源碼運行，請安裝最新版本的 Node.js。如果你需要具體步驟或替代方案，官方安裝指南涵蓋了支持的方法。
創建兩個目錄以存儲持久數據：

mkdir -p ~/.openclaw/statemkdir -p ~/.openclaw/workspace

2. 使用 Docker Compose 運行（推薦以實現隔離）

在一個空文件夾中創建一個最小的 docker-compose.yml。在部署之前，請在官方文檔/版本中確認正確的鏡像標籤：

services:  openclaw:    image: openclaw/openclaw:latest    restart: unless-stopped    environment:      - NODE_ENV=production      - OPENCLAW_STATE_DIR=/home/node/.openclaw      - OPENCLAW_WORKSPACE_DIR=/home/node/.openclaw/workspace      - OPENCLAW_GATEWAY_BIND=127.0.0.1      - OPENCLAW_GATEWAY_PORT=18789      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}      - SETUP_PASSWORD=${SETUP_PASSWORD}    user: "1000:1000"  # 可能的情況下以非 root 用戶運行    volumes:      - ~/.openclaw/state:/home/node/.openclaw      - ~/.openclaw/workspace:/home/node/.openclaw/workspace    ports:      - "127.0.0.1:8080:8080"  # UI/儀表板      - "127.0.0.1:18789:18789"  # 網關 API

在同一文件夾中創建一個 .env 文件並設置強密碼：

OPENCLAW_GATEWAY_TOKEN="change-this-to-a-long-random-string"SETUP_PASSWORD="also-change-this-to-a-strong-password"

啟動它：

docker compose up -d

3. 入門和驗證

打開儀表板 http://127.0.0.1:8080 並使用你的 SETUP_PASSWORD 完成設置向導。快速開始和向導流程在 Getting Started 中有詳細描述。
添加一個低風險渠道（例如，Slack 或 Discord），並在初始階段禁用文件寫入和 shell 命令。
從容器日誌中運行快速檢查：

docker compose logs --tail=100 openclaw

你應該看到確認信息，表明運行時正在運行，網關已綁定到 127.0.0.1:18789，且 UI 監聽在 8080 端口。

4. 替代方案：從源碼（Node.js）

如果你偏好從源碼進行本地開發：

git clone https://github.com/openclaw/openclaw.gitcd openclawpnpm installpnpm dev

這將啟動一個本地開發服務器。如果可用，請使用 CLI 向導初始化狀態並設置憑證，然後通過儀表板完成入門。

為什麼從本地開始？你可以將所有內容保留在你的機器上，延遲低，並且可以在移動到多用戶雲端設置之前確認基本功能。這是學習這個開源 AI 自動化代理的基本操作的最簡單方式，而不會冒生產數據的風險。

快速開始 B：10-20 分鐘內在 DigitalOcean 上部署雲端

當你準備與同事共享訪問權限或讓助手全天候在線時，一個低成本的雲端 VM 非常方便。常見的路徑是使用市場上的 1-Click 鏡像或運行 Docker Compose 的小型 Droplet。對於詳細的 DigitalOcean 指導，請參閱DigitalOcean 社區教程 for OpenClaw。

1. 創建一個 Droplet

選擇一個具有 2 vCPU 和 4 GB RAM 的大小（如果有多個渠道/用戶連接，可以選擇更大的規格）。
添加你的 SSH 密鑰並限制入站端口為 22（SSH），80/443（如果你打算將儀表板放在反向代理後面），以及你選擇的 UI 端口（8080），如果暫時測試直接訪問。

2. 通過 SSH 登錄並設置 Docker

ssh root@your-server-ipapt update && apt install -y docker.io docker-compose git && systemctl enable dockeradduser openclaw && usermod -aG docker openclawsu - openclaw

3. 準備狀態和 Compose

mkdir -p ~/.openclaw/state ~/.openclaw/workspacemkdir ~/svc && cd ~/svc

創建 docker-compose.yml（類似於本地版本），但先將儀表板綁定到 localhost，稍後再使用 Nginx 或 Caddy 進行 TLS 保護：

services:  openclaw:    image: openclaw/openclaw:latest    restart: unless-stopped    environment:      - NODE_ENV=production      - OPENCLAW_STATE_DIR=/home/openclaw/.openclaw      - OPENCLAW_WORKSPACE_DIR=/home/openclaw/.openclaw/workspace      - OPENCLAW_GATEWAY_BIND=127.0.0.1      - OPENCLAW_GATEWAY_PORT=18789      - OPENCLAW_GATEWAY_TOKEN=${OPENCLAW_GATEWAY_TOKEN}      - SETUP_PASSWORD=${SETUP_PASSWORD}    user: "1000:1000"    volumes:      - /home/openclaw/.openclaw:/home/openclaw/.openclaw      - /home/openclaw/.openclaw/workspace:/home/openclaw/.openclaw/workspace    ports:      - "127.0.0.1:8080:8080"      - "127.0.0.1:18789:18789"

創建 .env 文件並啟動：

cat > .env << 'EOF'OPENCLAW_GATEWAY_TOKEN=$(openssl rand -hex 32)SETUP_PASSWORD=$(openssl rand -base64 24)EOFdocker compose up -d

4. 添加反向代理（可選但推薦）

僅通過 HTTPS 暴露到互聯網，並將網關保持在 localhost：

sudo apt install -y nginx certbot python3-certbot-nginxsudo nano /etc/nginx/sites-available/openclaw

添加一個簡單的代理服務器塊（替換域名）：

server {  server_name assistant.example.com;  location / {    proxy_pass http://127.0.0.1:8080;    proxy_set_header Host $host;    proxy_set_header X-Real-IP $remote_addr;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_set_header X-Forwarded-Proto $scheme;  }  listen 80;}

然後啟用並保護它：

sudo ln -s /etc/nginx/sites-available/openclaw /etc/nginx/sites-enabled/sudo nginx -t && sudo systemctl reload nginxsudo certbot --nginx -d assistant.example.com --redirect

5. 驗證健康狀態

訪問 https://assistant.example.com 並完成入門設置。
檢查容器和日誌：

docker compose psdocker compose logs --tail=100

如果你看到運行時正在運行且沒有端口衝突，就說明一切正常。

為什麼選擇 DigitalOcean？它在成本、控制和簡潔性之間取得了平衡。你可以保持 root 訪問權限，但同時也能獲得一個乾淨、可預測的 VM，讓 OpenClaw 可以持續運行。如果你偏好 PaaS 方案，OpenClaw 文檔中包含了一個Render 部署示例，其中包括持久磁盤和所需的環境變量。

OpenClaw 部署指南：你應該選擇哪個選項？

如果你正在學習或關心隱私和超低延遲，建議先在本地部署。
如果你希望自己和同事能夠全天候訪問，建議使用小型雲端 VM。
如果你重視自動重啟、健康檢查和無痛磁盤管理，建議使用托管的 PaaS。Render 風格的藍圖通常包括持久磁盤掛載和一些必要的環境變量。如果你選擇這條路徑，請確保網關綁定在內部，並在部署時提供設置密碼和令牌。

🤔 好處：你的狀態（配置、記憶和工作空間文件）存儲在可預測的目錄中。這使得遷移變得簡單—備份狀態和工作空間文件夾，然後在新主機上恢復。

逐步指南：你將在任何地方重用的 Docker/VPS 模式

每次在任何 VPS 提供商上安裝 OpenClaw 時，請使用以下序列：

創建一個非 root 用戶並安裝 Docker 和 Compose。
在該用戶的主目錄中創建持久狀態/工作空間目錄。
最初將儀表板和網關綁定到 localhost。
生成強設置密碼和網關令牌，並將它們存儲在具有受限權限的 .env 文件中。
啟動服務並完成入門設置。
僅在測試後，添加反向代理並公開端口。

一個簡單的提高生活質量的腳本，可以將步驟 2-5 包裝起來，使重複部署變得輕而易舉。將其保留在你的私有存儲庫中，並參數化域名、端口和卷路徑。

默認安全設置你應該保持的

最小權限：從授予代理對單個測試目錄的只讀訪問權限開始。在驗證其行為之前，不要允許它寫入或執行 shell 命令。
憑證：使用長且隨機的 SETUP_PASSWORD 和 OPENCLAW_GATEWAY_TOKEN。如果憑證可能洩露或同事離開時，請輪換它們。
本地綁定：將網關綁定到 127.0.0.1。如果遠程工具需要訪問，請使用反向代理或私有網絡解決方案，而不是暴露原始端口。
分離環境：維護一個用於實驗的開發實例和一個用於重要文檔或工作流的單獨實例。
日誌和審查：在早期使用期間跟蹤日誌，並在解鎖更多強大功能之前審查代理嘗試執行的操作。

為了在擴展過程中獲得更深層次的、供應商中立的安全背景，請參閱OWASP 的代理應用程序十大安全問題（2026）和相關解決方案指南。

故障排除和恢復（快速修復）

端口已被佔用：如果 8080 或 18789 端口被佔用，請在 docker-compose.yml 中更改主機端口映射，然後重新啟動。
憑證錯誤或缺失：如果你無法認證到儀表板，請在 .env 文件中重置 SETUP_PASSWORD，然後重新啟動容器。對於網關，請輪換 OPENCLAW_GATEWAY_TOKEN 並重新部署。
容器頻繁啟動或崩潰：檢查最近的日誌和映射的狀態/工作空間目錄的權限。確保如果鏡像期望非 root 用戶運行，服務不會以 root 身份運行。
無法訪問網關：確認它仍然綁定到 127.0.0.1，並確保你的反向代理指向正確的上游。避免直接暴露網關。
要求它執行某事時沒有反應：確認相關渠道已連接，且所有必要的集成令牌都存在。先嘗試一個簡單的只讀任務（例如，“總結工作空間中的這段文本文件”）。

你經常會用到的有用命令：

# 狀態docker compose ps# 日誌（跟蹤）docker compose logs -f --tail=200# 在配置更改後重新啟動docker compose up -d --force-recreate# 檢查端口綁定docker ps --format ' -> '

如果你懷疑狀態損壞或升級失敗，請停止服務，備份狀態/工作空間目錄，然後使用新鏡像標籤重新開始。一旦服務恢復正常，你可以從備份中選擇性地重新導入。

三個安全的自動化操作首先嘗試

1. 早晨簡報

連接你已經使用的聊天渠道。將 OpenClaw 指向工作空間中的測試日曆文件，並要求它在工作日早上向你發送一份簡要摘要。最初保持只讀狀態，這樣它不能更改事件—這有助於建立對助手判斷和格式的信任。

2. GitHub 拉取請求摘要

啟用 GitHub 集成並限制其範圍到一個沙箱倉庫。要求 OpenClaw 讀取最新的拉取請求並以評論的形式發送一個簡短的摘要。這使用了真實的自動化（讀取遠程數據並發送回評論），而不需要觸及本地文件系統或運行 shell 命令。

3. 文件存在檢查和提醒

讓 OpenClaw 在下午 6 點檢查工作空間中是否存在特定文件，如果缺失則通過聊天發送提醒。這是一個最小的、實用的調度和通知測試，不需要寫入權限或 shell。

這些示例在保持非破壞性的同時，練習了渠道、記憶和基本工具。隨著迭代，你可以擴展到安全的文件寫入，然後謹慎地啟用 shell 命令，用於狹窄且經過良好測試的任務。

升級、備份和遷移提示

版本固定：在 Docker 中，使用帶有標籤的鏡像而不是 latest，以確保穩定性，然後有意識地進行升級。
升級前備份：停止容器並使用時間戳歸檔狀態/工作空間目錄。至少保留兩個快照。
回滾：如果升級出現問題，停止容器，切換回之前的鏡像標籤，並恢復狀態/工作空間的先前快照。
遷移：要遷移到新主機，將快照複製到新機器上，重新創建相同的目錄結構和用戶 ID，然後使用相同的環境變量啟動服務。

備份只需幾分鐘，但可以節省數小時的調試時間。這裡有一個建議：設置一個快速的每周 cron 任務，將你的狀態和工作空間壓縮成帶有日期的 tarball，並輪換舊的歸檔。

你永遠不能忽視的安全注意事項

OpenClaw 強大在於它作為通往你的系統和應用程序的網關。這也是為什麼你必須謹慎處理權限和範圍。考慮以下幾點：

提示注入和工具濫用：對來自不受信任來源的內容持懷疑態度。在處理未知輸入的工作流程中，保持高風險工具禁用。
密鑰衛生：不要在 Compose 文件中硬編碼 API 密鑰。使用環境變量並限制對 .env 的訪問。定期輪換密鑰。
網絡暴露：優先使用私有網絡或帶有 TLS 和認證的反向代理。不要將原始網關公開到公共互聯網。
可審計性：保留足夠長的日誌，以便在出問題時重建發生了什麼。在授予更多權力之前，審查代理的操作。

這些不是理論上的風險—它們是任何自動化服務都可能面臨的相同類別的問題。最小權限、職責分離和常規審計可以起到很大的作用。

替代方案及其適用場景

根據你的目標，你可能還會探索其他強調不同權衡的開源代理項目，例如以 IDE 為中心的代碼代理或研究密集型助手。如果你的主要需求是在瀏覽器 IDE 中進行協作編碼，你可能更喜歡為此領域量身定制的代理。如果你需要大規模的無頭瀏覽器自動化，專注於該領域的框架可能更合適。重點不是選出“勝者”，而是選擇與你的工作流程和風險承受能力相匹配的工具。