🖥️ Mac mini M4 部署最新版 OpenClaw 正规教程
本机常驻 + 安全最佳实践
目标:在 Mac mini M4(Apple Silicon) 上把 OpenClaw 按官方推荐方式安装到本机,完成首次向导、让 Gateway 开机自启常驻,并按官方安全模型做到”默认不暴露、可控远程访问”。
OpenClaw 官方默认 Gateway 端口
18789,本机回环访问。
0 | 先选部署方式
| 方案 | 说明 | 推荐度 |
|---|---|---|
| 本机原生安装 | 最快、最省心,适合 Mac mini 作为”常驻 Agent 主机”。官方首推安装脚本 + CLI 向导。 | ⭐⭐⭐ |
| macOS 虚拟机隔离 | 希望把 OpenClaw 放进”沙盒 macOS”里跑,可用官方推荐的 Lume 在 Apple Silicon(含 M4)上跑 macOS VM。 | ⭐⭐ |
| Docker | 适合想把 Gateway 放进容器,或验证容器化流程;官方提供 compose 脚本。 | ⭐ |
下面先讲 推荐的本机原生安装,末尾附 Docker / VM 可选方案。
1 | 环境准备
1.1 更新系统与基础工具
- 建议把 macOS 升到官方支持范围内的较新版本(至少保持在当前维护线)。
- 安装 Xcode Command Line Tools(很多 Node 原生依赖需要它):
xcode-select --install1.2 Node 环境准备:使用 NVM 管理 Node.js(关键核心)
OpenClaw 运行时严格要求 Node 22+。虽然官方安装脚本会在缺失时自动处理,但在 M4 上强烈推荐使用 NVM (Node Version Manager) 来手动管理原生 ARM64 版本的 Node,以防环境冲突并最大化 M4 芯片性能。
第一步:安装最新版 NVM
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.4/install.sh | bash执行完毕后,运行
source ~/.zshrc或重启终端让环境变量立即生效。
第二步:NVM 常用管理命令与 Node 部署
| 步骤 | 命令 | 说明 |
|---|---|---|
| 查看所有可用版本 | nvm ls-remote --lts | 建议只看稳定版 LTS |
| 安装符合要求的版本 | nvm install 22 | 推荐 Node.js 22 系列最新 LTS |
| 查看本地已安装版本 | nvm ls | 带 -> 的即为当前使用版本 |
| 设置全局默认版本 | nvm alias default 22 | 防止每次开终端都要重设 |
| 卸载旧版本 | nvm uninstall <版本号> | 不能卸载当前正在使用的版本 |
第三步:M4 满血架构验证
node --version # 确保输出是 v22.x.xnode -p "process.arch" # 输出 arm64 即代表满血性能状态2 | 安装 OpenClaw(一条命令)
Node 环境就绪后,执行官方安装脚本(自动下载核心文件、安装 CLI 并进入引导流程):
curl -fsSL https://openclaw.ai/install.sh | bash💡 进阶提示:只想安装、不立刻跑向导(比如准备做自动化脚本),可以加参数:
Terminal window
3 | 首次初始化:Onboarding 向导 + 常驻服务
运行向导并安装 daemon(macOS 上自动配置 launchd 守护进程,实现开机自启):
openclaw onboard --install-daemon向导将引导你完成:
- Gateway 基本网络配置(默认 loopback 安全模式)
- 核心大模型(LLM)API Key 与鉴权配置
- 可选的交互渠道绑定(Telegram / WhatsApp / Slack 等)
4 | 验证部署成功
4.1 查看 Gateway 运行状态
openclaw gateway status✅ 健康基线:看到
Runtime: running且RPC probe: ok即可。
4.2 打开控制台 UI
方式一 — 终端快捷命令:
openclaw dashboard方式二 — 浏览器直接访问:
http://127.0.0.1:18789/5 | 日常运维:启动 / 停止 / 排错
OpenClaw 的 Gateway 是 Mac mini 上的”常驻大脑”,官方建议用受监督的服务形态运行。
| 命令 | 用途 |
|---|---|
openclaw gateway status | 查看服务运行状态 |
openclaw gateway restart | 重启 Gateway 服务 |
openclaw gateway stop | 停止后台服务 |
openclaw logs --follow | 实时滚动查看运行日志(排错必备) |
openclaw doctor | 官方安全与环境体检 |
💡 如果未安装后台服务,可用前台模式跑(通常用于深度排错):
Terminal window
6 | 更新到最新版
OpenClaw 更新频繁,官方建议流程:更新 → 体检 → 重启 → 验证。
6.1 重新运行官方安装脚本(原地升级)
curl -fsSL https://openclaw.ai/install.sh | bash6.2 更新后必做三件事
openclaw doctor # 体检openclaw gateway restart # 重启openclaw health # 验证6.3 版本回滚(出问题时的救命稻草)
npm i -g openclaw@<version>openclaw doctoropenclaw gateway restart7 | 远程访问(⚠️ 千万不要直接公网暴露端口)
官方默认:loopback 优先。Gateway 默认绑定 127.0.0.1:18789,即”本机安全默认态”。
7.1 SSH 端口转发(最通用)
在外地时,从你的 MacBook / Windows 笔记本执行:
ssh -N -L 18789:127.0.0.1:18789 user@你的Mac_mini_IP地址然后在笔记本浏览器打开 http://127.0.0.1:18789/ 即可安全访问。
7.2 Tailnet / 虚拟局域网(推荐 Tailscale)
官方网络模型明确:非 loopback 绑定需要严格的 token,并强烈建议走 Tailnet 或 SSH。绝对不要把端口裸露在公网。
8 | 安全加固(强烈建议照做)
OpenClaw 是”能自主做事”的 Agent,安全上默认要把 外部输入当不可信。
| # | 措施 | 说明 |
|---|---|---|
| 1 | Gateway 保持 loopback 绑定 | 默认即是,不要乱改 IP 绑定 |
| 2 | DM / 群聊用 pairing / allowlist | 只允许信任账号发号施令,不要设为 “open” |
| 3 | 谨慎安装第三方 skills / 扩展 | 已有恶意投递与安全争议的公开报道(如窃取 Token) |
| 4 | 高隔离需求上 VM | 官方提供 Lume 在 Apple Silicon 上跑 macOS VM 的方案 |
9 | 可选方案 A:Docker 部署
如果坚持容器化,官方 Docker 指南的”快速启动”从仓库根目录执行脚本,会构建镜像、跑 onboarding、起 compose、生成 token,然后在浏览器打开 http://127.0.0.1:18789/。
⚠️ Docker Desktop 在 Apple Silicon 上运行可能需要部分工具借助 Rosetta 转译,因此本机跑 Node 依然是性能最优解。
10 | 可选方案 B:macOS VM(更强隔离)
官方”macOS VMs(Sandboxing)“文档给了 Lume 的一条龙步骤(完美适配 M1 / M2 / M3 / M4),包括创建 VM、开启 SSH、无界面运行等。适合对安全和文件系统隔离有极高要求的极客玩家。
11 | 验收清单
| 检查项 | 预期结果 |
|---|---|
node -p "process.arch" | 输出 arm64 |
openclaw gateway status | 显示 running 且 RPC ok |
openclaw dashboard | 一键打开控制台 |
浏览器访问 http://127.0.0.1:18789/ | 可顺畅聊天发任务 |
升级后跑 openclaw doctor 并重启 | 服务正常恢复 |
| 对外访问 | 仅 SSH 隧道或 Tailscale,无公网裸奔端口 |