手把手本地部署 OpenClaw （安全篇）

OpenClaw 是一款开源可私有化部署的 AI 智能体 / 自动化助手，支持多模型接入、工作流自动化、代码辅助等能力；本地部署可实现数据完全可控、隐私合规、权限自主管控，完美契合网络安全人员对环境隔离、安全审计的核心需求。

本篇覆盖新手一键部署、容器化隔离部署、源码编译部署3 种方案，全平台兼容，附带网安专属安全加固与踩坑排查指南。

一、前置准备（必看，避免 90% 的部署失败）

1. 系统 &硬件最低要求

2. 核心依赖说明

• 强制依赖：Node.js ≥ 18（官方推荐 22.x LTS 版本，一键脚本会自动安装，无需手动处理）
• 可选依赖：
  • Git：源码编译、版本更新必备
  • Python 3.10+：部分安全自动化、爬虫类技能插件必备
  • Docker：容器化部署，实现环境完全隔离（网安场景首选）
  • FFmpeg：音视频处理类功能必备

二、方案一：全平台一键脚本部署

无需手动配置任何环境，脚本自动检测系统、安装依赖、部署主程序，零基础可直接上手，适合快速体验、测试使用。

步骤 1：终端权限准备

• Windows 系统：
  1. 按下，选择Windows PowerShell (管理员) 打开
  2. 执行以下命令解锁脚本执行权限，输入回车确认：

网安提示：该权限仅允许本地签名脚本与远程可信脚本执行，部署完成后可恢复默认权限。

• macOS/Linux/WSL2 系统：

直接打开终端，后续命令需输入开机密码 /sudo 密码授权（输入时不显示字符，正常输入回车即可）。

步骤 2：执行一键安装命令

复制对应系统的命令，粘贴到终端回车执行，等待自动完成安装：

• Windows PowerShell：

• macOS/Linux/WSL2：

• 国内网络加速版（解决 npm 拉取失败问题）：

步骤 3：验证安装是否成功

终端执行以下命令，输出版本号（如）即代表部署完成：

三、方案二：Docker 容器化部署（网安场景首选，环境隔离）

容器化部署可实现 OpenClaw 与宿主系统完全隔离，权限可控、便于迁移、不污染系统环境，支持开机自启、日志统一管理，是网络安全人员长期部署的最优方案。

步骤 1：安装 Docker 环境

• Windows 系统：

>先安装 WSL2：管理员 PowerShell 执行，重启电脑后按提示设置 Ubuntu 账号密码

>前往 Docker 官网下载 Docker Desktop，按引导完成安装，启动后确认右下角图标显示「运行中」

• macOS 系统：

>官网下载 Docker Desktop for Mac（Intel/Apple Silicon 芯片均兼容），安装并启动；或通过 Homebrew 安装：

• Linux 系统（Ubuntu/Debian）：

执行以下命令一键安装 Docker，并设置开机自启：

步骤 2：一键启动 OpenClaw 容器

终端执行以下命令，自动拉取官方最新镜像并启动容器，全程无需手动配置：

网安专属参数说明：

• ：仅允许本机访问，禁止外网直接访问，避免端口暴露风险
• ：开机自启，服务崩溃自动重启
• ：挂载配置文件，容器重启 / 重建不丢失数据
• ：禁用所有容器特权，最小化权限，降低逃逸风险
• ：禁止容器内进程提升权限

步骤 3：容器化部署进阶（Docker Compose，便于管理）

• 创建部署目录与配置文件：

• 粘贴以下配置内容（网安优化版），保存退出：

• 启动服务：

• 验证容器运行状态：

输出中 STATUS 显示即代表启动成功。

四、方案三：手动源码编译部署（进阶定制 / 安全审计）

适合需要对代码进行安全审计、二次开发、自定义功能的网安人员，完全掌控安装过程，可离线部署。

步骤 1：安装前置依赖

需提前安装：Node.js 22.x LTS、Git、pnpm 包管理器

步骤 2：克隆官方源码仓库

国内加速：可使用 Gitee 镜像仓库

步骤 3：安装依赖并编译构建

步骤 4：全局链接并验证安装

五、核心初始化配置

部署完成后，必须执行初始化配置向导，完成网关、模型、服务的基础配置，才能正常使用。

步骤 1：启动初始化向导

• 原生部署 / 源码部署：终端直接执行

• Docker 容器化部署：先进入容器终端，再执行向导

步骤 2：按向导完成核心配置

向导为交互式操作，按提示选择即可，核心配置项说明：

1. 网关类型：新手选择快速模式，进阶选择本地网关（完全本地可控）
2. AI 模型认证：支持 OpenAI、Anthropic Claude、智谱 GLM、Ollama 本地大模型等，按需填写 API Key 或本地模型地址
3. 聊天平台对接：可选对接 Telegram、Discord、企业微信等 Bot，按需填写 Token 即可
4. 守护进程安装：选择，安装后台服务，实现开机自启、崩溃自动重启
5. 工作区配置：默认即可，自定义工作区路径需确保无中文、无空格、权限充足

步骤 3：配置文件路径（网安审计必备）

所有核心配置、凭证、Agent 智能体日志均存放在以下目录，可定期审计、备份：

• 主配置目录：
• API 密钥 / OAuth 凭证：
• 智能体配置文件：
• 运行日志：

六、本地访问 & 功能验证

• Web 管理面板访问：打开浏览器，访问地址： 或 ，即可进入 OpenClaw 可视化管理界面。
• 基础功能验证：
  • 测试模型调用：在聊天界面发送指令，确认大模型正常响应
  • 测试网关连通性：访问，返回即代表网关服务正常
  • 测试后台服务：重启电脑后，确认服务自动启动，无需手动执行命令

七、本地部署安全加固要点

1.访问控制加固

• 禁止 0.0.0.0 端口绑定，仅绑定 127.0.0.1，如需跨设备访问，仅开放给指定内网 IP，禁止公网暴露
• 开启 Web 面板身份认证，设置强密码，禁止空密码 / 弱密码
• 如需公网访问，必须通过 Nginx 反向代理，配置 HTTPS+Basic Auth+IP 白名单，禁止直接端口映射到公网

2.API 密钥安全

• 所有大模型 API 密钥设置最小权限、额度限制，定期轮换
• 禁止将 API 密钥硬编码在配置文件中，推荐使用系统环境变量或密钥管理工具存储
• 定期审计 API 调用日志，排查异常调用行为

3.容器安全加固

• 禁止使用特权模式启动容器，严格最小化容器权限
• 定期更新容器镜像，修复漏洞：
• 禁用容器内不必要的端口、服务，关闭 Suid 权限，限制进程数

4.系统与日志审计

• 开启操作日志、API 调用日志、系统运行日志全量记录，定期审计异常行为
• 配置日志轮转，避免日志占满磁盘空间
• 定期扫描宿主系统 / 容器漏洞，更新系统补丁

5.离线安全优化

• 纯内网环境使用时，对接 Ollama 本地大模型，完全切断外网 API 调用，实现数据零外泄
• 禁用自动更新、遥测功能，所有依赖包提前完成安全审计后再离线导入

八、常见踩坑问题排查

1.PowerShell 执行脚本报错 “权限不足”

解决方案：重新以管理员身份打开 PowerShell，先执行权限解锁命令，再执行安装脚本；部署完成后可执行恢复默认权限。

2.Node.js 版本不兼容，安装失败

解决方案：一键脚本会自动安装适配版本，若手动安装，需确保 Node.js ≥ 18，推荐 22.x LTS；可通过 nvm 管理多版本 Node.js，避免环境冲突。

3.Docker 启动后，浏览器无法访问面板

排查步骤：

1. 执行确认容器正常运行，无重启循环
2. 检查端口是否被占用：，若被占用，修改映射端口
3. 确认端口绑定的是 127.0.0.1，访问地址必须用 127.0.0.1，不能用内网 IP / 公网 IP
4. 查看容器日志排查报错：

4.国内网络依赖拉取失败、超时

解决方案：

• npm 使用国内镜像：
• Docker 镜像使用国内加速源，修改 Docker Daemon 配置，添加国内镜像站
• 一键脚本使用加速版命令，指定国内镜像源

5.启动服务报错 “端口被占用”

解决方案：

1. 查看端口占用进程，结束对应进程；或修改 OpenClaw 启动端口，启动命令添加参数
2. 容器化部署直接修改 docker-compose.yml 中的端口映射，如，重启容器即可