OpenClaw (龙虾) 是一个强大的个人 AI 助手它可以连接各种消息平台并执行工具。本文介绍如何通过 Docker Compose 安全地部署 OpenClaw并解析其中的关键配置。OpenClaw 提供了强大的 AI 能力但也意味着它需要访问你的文件、工具和 API 密钥。因此安全性是部署时的首要考量。参考这个 GitHub 仓库wangyucode/openclaw-docker-compose部署步骤1. 克隆仓库与配置环境首先克隆部署配置仓库gitclone https://github.com/wangyucode/openclaw-docker-compose.gitcdopenclaw-docker-compose复制并编辑.env文件填入你的 API 密钥和其他配置cp.env.example .envvi.env2. 执行初始化 (Onboarding)在启动网关之前需要运行一次初始化命令来生成必要的配置文件dockercompose run--rmopenclaw-cli onboard3. 启动 OpenClaw一切就绪后启动 Docker 容器dockercompose up-d关键配置解析为什么我们要这样编写docker-compose.yml以下是几个关键的安全配置点非 Root 用户运行user:1000:1000默认情况下Docker 容器以 root 用户运行。如果容器被攻破攻击者可能获得宿主机的 root 权限。通过指定user: 1000:1000通常是宿主机的第一个普通用户我们可以最小化权限。禁用权限提升security_opt:-no-new-privileges:true这项配置可以防止容器内的进程通过setuid或setgid二进制文件获得新的权限。即使攻击者在容器内找到了漏洞也无法提升权限。移除不必要的 Capabilitycap_drop:-ALLLinux Capabilities 将 root 的特权细分为多个小的权限。默认情况下Docker 会保留一些常用的权限。通过cap_drop: [ALL]我们移除了所有特权只保留最基础的运行环境。持久化存储与权限volumes:-./.openclaw:/home/node/.openclaw将配置文件和工作区映射到宿主机目录方便备份和管理。注意宿主机目录的权限应与user配置一致例如chown -R 1000:1000 .openclaw。访问控制OpenClaw 默认运行在18789端口。访问 Dashboard 时需要一个 Token你可以通过以下命令获取dockercompose run--rmopenclaw-cli dashboard --no-open总结通过 Docker 部署 OpenClaw 不仅简化了环境配置更重要的是通过容器化技术提供了良好的安全隔离。遵循“最小权限原则”我们可以更放心地让 AI 助手为我们工作。本文原始发表于 https://wycode.cn/blog/openclaw-docker转载请注明出处