总结部署OpenClaw的10个常见大坑:
总结部署OpenClaw的10个常见大坑:
Clawdbot(现已更名为OpenClaw,原Moltbot)是一个爆火的开源个人AI助手项目,能本地部署在Mac/Linux/Windows/VPS上,通过Telegram、WhatsApp、Discord等聊天工具交互,实现自动化任务(如清理邮件、执行Shell命令、浏览器操作、长期记忆等)。它权限极高(几乎能触碰本机所有资源),但部署过程坑多,尤其是新手容易踩雷。下面总结部署OpenClaw的10个常见大坑,结合2026年社区真实反馈、教程和安全警告,图文并茂说明(配图均为典型错误截图或配置示例,基于公开资源搜索)。
直接在一键安装后放公网/不改端口暴露Gateway
最致命坑!默认端口18789或配置的gateway暴露在外,无鉴权或只靠localhost误判。攻击者扫描Shodan就能接管你的电脑、读聊天记录、偷API Key、执行任意命令。
已知超1300+实例裸奔。
正确做法:用Cloudflare Tunnel/Cloudflare Warp/反向代理+严格认证;gateway.mode设为local,只允许127.0.0.1;别用默认端口。
(图:Shodan搜索暴露实例截图,红框显示开放端口)
主力机/工作电脑直接部署
OpenClaw有Exec权限,能删文件、跑Shell、控制浏览器。一旦被提示词注入或误操作,你的Documents、代码库全没了。社区多起“删光硬盘”案例。
建议:用虚拟机、旧电脑、专用VPS或NAS隔离运行。绿联NAS/腾讯云Lighthouse用户踩雷最多。
(图:警告截图“别在主力机装,你的电脑正在变肉鸡”)
第三方API(如Claude/Gemini)baseUrl写错或带/v1
配置.json里"baseUrl": "https://api.example.com/v1" → 报错。官方文档没强调,必须纯域名不带版本路径。
很多人卡一晚上。
正确:"baseUrl": "https://api.antigravity.ai"
(图:错误日志“Invalid endpoint” vs 正确配置示例)
改配置后不清缓存/不重启服务
修改config.json后直接重启终端无效,新配置不生效,日志还显示旧模型。
解决:systemctl --user restart openclaw-gateway.service 或 docker restart;清缓存 openclaw cache clear。
(图:日志对比“旧模型还在用”)
Telegram Bot Token或配对码输入错/没批准
发消息机器人不回,卡在“配对中”。需在终端手动批准配对码(openclaw pair ZEGWXXXX)。
很多人以为机器人坏了,其实是没批准。
(图:终端提示“Approve pairing code”截图)
浏览器自动化技能失败(尤其是HTTPS页面)
让它点网页按钮/登录,常卡在“图标不变绿”或权限不足。国内网络+HTTPS严格。
坑:没装Playwright依赖或网络问题。
解:pip install playwright && playwright install;用海外VPS或科学上网。
(图:浏览器控制台错误“Navigation failed”)
模型选错或额度耗光
用Gemini Flash测试快但智能低,Claude Opus聪明但贵/限额。免费额度几小时就烧光。
建议:先Gemini-2.5-Flash验证,再换Claude Code中转。
(图:额度警告“Rate limit exceeded”)
多平台集成(如Slack/Discord)配置漏项
Slack需开启“Messages Tab”;Discord Bot需intents。漏一个就连不上。
常见:左侧菜单Show Tabs没开。
(图:Slack App Home设置截图,红圈标“Messages Tab”)
安装脚本失败/环境依赖缺失
curl http://install.sh | bash 卡住或报错command not found。Node.js版本不对(需18+)、权限不足、curl没装。
解:手动git clone https://github.com/openclaw/openclaw && npm install。
(图:终端错误“node: command not found”)
忽略安全:不绑邮箱/两步、不设token验证
没开两步验证,丢号=全丢;不设消息认证,任何人发指令它都执行。
必须:注册后立即绑邮箱+两步;gateway加token验证,只认自己消息。
(图:安全警告“暴露聊天记录和Root权限”)
总结一句话:OpenClaw牛逼,但本质是“高权限本地Agent”,部署=给自己电脑开后门。新手别贪方便,先用虚拟机/VPS尝鲜,安全第一!官方已多次改名+修安全,但社区仍曝大量裸奔实例。想玩的,强烈建议看保姆级视频教程(如YouTube零度解说)避坑。
有具体哪步卡住了?说说你的环境,我帮细化。
Clawdbot(现已更名为OpenClaw,原Moltbot)是一个爆火的开源个人AI助手项目,能本地部署在Mac/Linux/Windows/VPS上,通过Telegram、WhatsApp、Discord等聊天工具交互,实现自动化任务(如清理邮件、执行Shell命令、浏览器操作、长期记忆等)。它权限极高(几乎能触碰本机所有资源),但部署过程坑多,尤其是新手容易踩雷。下面总结部署OpenClaw的10个常见大坑,结合2026年社区真实反馈、教程和安全警告,图文并茂说明(配图均为典型错误截图或配置示例,基于公开资源搜索)。
直接在一键安装后放公网/不改端口暴露Gateway
最致命坑!默认端口18789或配置的gateway暴露在外,无鉴权或只靠localhost误判。攻击者扫描Shodan就能接管你的电脑、读聊天记录、偷API Key、执行任意命令。
已知超1300+实例裸奔。
正确做法:用Cloudflare Tunnel/Cloudflare Warp/反向代理+严格认证;gateway.mode设为local,只允许127.0.0.1;别用默认端口。
(图:Shodan搜索暴露实例截图,红框显示开放端口)
主力机/工作电脑直接部署
OpenClaw有Exec权限,能删文件、跑Shell、控制浏览器。一旦被提示词注入或误操作,你的Documents、代码库全没了。社区多起“删光硬盘”案例。
建议:用虚拟机、旧电脑、专用VPS或NAS隔离运行。绿联NAS/腾讯云Lighthouse用户踩雷最多。
(图:警告截图“别在主力机装,你的电脑正在变肉鸡”)
第三方API(如Claude/Gemini)baseUrl写错或带/v1
配置.json里"baseUrl": "https://api.example.com/v1" → 报错。官方文档没强调,必须纯域名不带版本路径。
很多人卡一晚上。
正确:"baseUrl": "https://api.antigravity.ai"
(图:错误日志“Invalid endpoint” vs 正确配置示例)
改配置后不清缓存/不重启服务
修改config.json后直接重启终端无效,新配置不生效,日志还显示旧模型。
解决:systemctl --user restart openclaw-gateway.service 或 docker restart;清缓存 openclaw cache clear。
(图:日志对比“旧模型还在用”)
Telegram Bot Token或配对码输入错/没批准
发消息机器人不回,卡在“配对中”。需在终端手动批准配对码(openclaw pair ZEGWXXXX)。
很多人以为机器人坏了,其实是没批准。
(图:终端提示“Approve pairing code”截图)
浏览器自动化技能失败(尤其是HTTPS页面)
让它点网页按钮/登录,常卡在“图标不变绿”或权限不足。国内网络+HTTPS严格。
坑:没装Playwright依赖或网络问题。
解:pip install playwright && playwright install;用海外VPS或科学上网。
(图:浏览器控制台错误“Navigation failed”)
模型选错或额度耗光
用Gemini Flash测试快但智能低,Claude Opus聪明但贵/限额。免费额度几小时就烧光。
建议:先Gemini-2.5-Flash验证,再换Claude Code中转。
(图:额度警告“Rate limit exceeded”)
多平台集成(如Slack/Discord)配置漏项
Slack需开启“Messages Tab”;Discord Bot需intents。漏一个就连不上。
常见:左侧菜单Show Tabs没开。
(图:Slack App Home设置截图,红圈标“Messages Tab”)
安装脚本失败/环境依赖缺失
curl http://install.sh | bash 卡住或报错command not found。Node.js版本不对(需18+)、权限不足、curl没装。
解:手动git clone https://github.com/openclaw/openclaw && npm install。
(图:终端错误“node: command not found”)
忽略安全:不绑邮箱/两步、不设token验证
没开两步验证,丢号=全丢;不设消息认证,任何人发指令它都执行。
必须:注册后立即绑邮箱+两步;gateway加token验证,只认自己消息。
(图:安全警告“暴露聊天记录和Root权限”)
总结一句话:OpenClaw牛逼,但本质是“高权限本地Agent”,部署=给自己电脑开后门。新手别贪方便,先用虚拟机/VPS尝鲜,安全第一!官方已多次改名+修安全,但社区仍曝大量裸奔实例。想玩的,强烈建议看保姆级视频教程(如YouTube零度解说)避坑。
有具体哪步卡住了?说说你的环境,我帮细化。
责任编辑:
相关文章:
