群晖的部署遇到挺多问题的整理下给大家一个喂饭部署教程以及一些遇到的问题总结都是这段时间一点一点部署修改得出来的一些经验目前整理了群晖和Mac部署的以后有零刻再更新做零刻的部署方法黑群晖/群晖部署先下载文件拉取文件 先进入ssh终端sudo -i输入密码cd到需要部署的目录下 如cd /volume2/docker_m2/openClaw然后输入git clone https://github.com/openclaw/openclaw.git文件就会下载到/volume2/docker_m2/openClaw/叫openclaw的文件或者去github下载openclaw官方原版下载后上传到需要部署的文件夹里面解压建议文件夹名称加上版号 如-2026.3.24接着这就是群晖容易遇坑的地方1.直接执行部署脚本 ./docker-setup.sh 是会报BUILDKIT的2.手动输入命令编译打包后无法直接启动进入配置页面3.需要部署后再给workspace文件权限 没部署是没有workspace文件夹的这时候先 去目录下的docker-compose.yml里面增加build: .openclaw-gateway: build: .openclaw-cli: build: .保存后终端 进入openclaw-2026.3.24文件目录cd openclaw-2026.3.24接着修改挂载目录 修改成你需要放数据的目录我使用的是和拉取的openclaw同级目录新建一个openclaw-data文件夹如果你需要.openclaw文件夹名称可以改成.openclaw例/volume2/docker_m2/openClaw/.openclaw/volume2/docker_m2/openClaw/openclaw-datavolumes: - ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace把上面这个位置改成这样 openclaw-gateway:openclaw-cli:都要改${OPENCLAW_CONFIG_DIR}改成/volume2/docker_m2/openClaw/openclaw-data${OPENCLAW_WORKSPACE_DIR}改成/volume2/docker_m2/openClaw/openclaw-data/workspacevolumes: - /volume2/docker_m2/openClaw/openclaw-data:/home/node/.openclaw - /volume2/docker_m2/openClaw/openclaw-data/workspace:/home/node/.openclaw/workspace保存在终端输入sudo chown -R 1000:1000 /volume2/docker_m2/openClaw/openclaw-datasudo chmod -R 777 /volume2/docker_m2/openClaw/openclaw-data然后终端输入下面的编译打包命令sudo DOCKER_BUILDKIT1 docker-compose up -d --build等待编译打包成镜像就行这时候编译打包好后是启动不了的会没有权限报错无法在当前启动模式 进入配置模式接着去群晖里面删掉这2个容器去到终端 最好是命令编辑器里面输入群晖运行初始化这个命令因为没有初始化没有生成配置文件先初始化才会创建配置文件使用 docker run 启动一个临时容器。注意镜像名称请替换为你之前 docker-compose 中 image: 定义的名字通常是 openclaw:local/volume2/docker_m2/openClaw/openclaw-data改成你的群晖挂载目录sudo docker run -it --rm \ -v /volume2/docker_m2/openClaw/openclaw-data:/home/node/.openclaw \ openclaw:local \ node dist/index.js onboard等待进入初始化配置配置好后会自动退出这时候我们的群晖部署已经完成一大半了这时候进入配置文件 转到下面的点击转到编译启动后进入配置先设置好配置文件然后再回来继续配置openclaw-data文件夹正常的情况下已经初始化写入文件了这时候的 /workspace 是没有权限写入的需要给予权限依次执行sudo chown -R 1000:1000 /volume2/docker_m2/openClaw/openclaw-data/workspace sudo chmod -R 777 /volume2/docker_m2/openClaw/openclaw-data/workspace⬇️群晖部署需要额外加参数的⬇️出于安全考虑它默认不允许非本地non-loopback的浏览器访问控制界面除非你明确告诉它哪些域名Origins是安全的群晖部署我们需要在 openclaw.json 增加几个参数 和修改bind: loopback,成bind: lan,bind: lan, controlUi: { allowedOrigins: [ http://127.0.0.1:18789, http://localhost:18789 ], dangerouslyAllowHostHeaderOriginFallback: true, allowInsecureAuth: true, dangerouslyDisableDeviceAuth: true },dangerouslyAllowHostHeaderOriginFallback: true字面意思危险地允许 Host 头部来源回退。通俗解释“谁敲门都让进”。用途OpenClaw 默认只允许从localhost访问。当你通过局域网 IP如192.168.x.x或者内网穿透域名访问控制面板时网关会因为安全检查失败而报错。开启这个后它会直接信任你浏览器发送的 Host 地址不再拦截跨域请求。allowInsecureAuth: true字面意思允许不安全的身份验证。通俗解释“允许在没有加密HTTP的情况下登录”。用途默认情况下敏感的登录操作通常要求HTTPS加密。如果你没有配置 SSL 证书即直接访问http://...而不是https://...开启此项可以让你在普通的 HTTP 连接下正常登录和输入密码而不被浏览器或后端拒绝。dangerouslyDisableDeviceAuth: true字面意思危险地禁用设备授权。通俗解释“跳过新设备验证”。用途OpenClaw 增强安全模式下新设备访问可能需要额外的验证步骤比如验证码或设备指纹确认。开启这个后任何设备连接进来都会被视为已授权直接进入管理界面。这在自动化测试或只有你自己能物理接触的服务器上非常方便。如果你是局域网内/内网非公网访问可以这样设置如果开放公网使用请设置指定的访问域名或ip群晖里面到/openclaw-data下载 /openclaw-data/openclaw.json 文件到本地记事本打开编辑 找到这个gateway改成这样的⬆️群晖部署需要额外加参数的⬆️这时候我们就可以去到群晖里面打开Container manger点击新增项目了路径选择你的opanclaw目录选择后会出现提示点击确定点击下一步-下一步 点击完成这时候Container manger就会开始构建启动openclaw了openclaw-openclaw-cll-1 会自动退出这个正常情况现在可以在你游览器里面输入你的群晖ip18789访问openclawhttp://192.168.1.15:18789会显示这个窗口输入网关令牌登陆网关令牌获取在前面说到的配置文件路径里openclaw.json文件打开openclaw.json找到这个auth: { mode: token, token: 72a83e3764346ffd1d8e71d8f0eaafe47ce948da55cb853916962f50beec6c81 },里面的token数值就是网关令牌输入到网关令牌点击连接即可进入openclaw现在就可以正常使用了如果有遇到其他错误可查看下面一些我遇到的错误解决方法MAC部署openclaw我这边用的是mac的mini m4进行部署mac部署相对还是比较简单很多的因为是本机部署不用其他机子访问直接走localhost也不需要走https证书开始1.环境部署确保自己的mac安装好了Docker Desktop on Machttps://docs.docker.com/desktop/setup/install/mac-install/2.去官方git下载对应的版本包例如部署openclaw-v2026.3.24(tar.gz)下载到需要安装的目录我这使用用户下新建了个OpenClaw文件夹解压出来openclaw-2026.3.23 文件夹打开MAC的docker打开MAC终端右键文件夹 - 显示简介-复制 位置路径终端输入文件夹名称cd /Users/calm/OpenClaw/openclaw-2026.3.23可自行修改自己需要配置文件生成保存的地方修改/openclaw-2026.3.23/docker-compose.yml 的文件右键-打开方式-文本编辑-打开修改的环境变量把 ${OPENCLAW_CONFIG_DIR} 修改成你想要的路径 你的电脑路径/.openclaw 后面加.openclaw方便查看文件夹把 ${OPENCLAW_WORKSPACE_DIR} 修改成你的电脑路径/.openclaw/workspaceMAC建议默认即可- ${OPENCLAW_CONFIG_DIR}:/home/node/.openclaw - ${OPENCLAW_WORKSPACE_DIR}:/home/node/.openclaw/workspace3.编译docker镜像授权安装脚本chmod x docker-setup.shchmod x scripts/*.sh执行部署脚本./docker-setup.sh等待执行部署完成进入配置界面即可编译启动后进入配置界面I understand this is personal-by-default and shared/multi-user use requires lock-down. Continue?○ Yes / ● No键盘左切换到yes敲回车Setup mode● QuickStart (Configure details later via openclaw configure.)○ Manual直接 敲回车键盘按一下上切换到Skip for now敲回车默认All providers敲回车下移到Enter model manually手动输入模型型号默认就行 敲回车消息渠道配置Telegram (Bot API)有Telegram的就配置下Telegram没有就配置飞书或者2个都配置也行我这选择飞书做示范后面也可以使用插件命令配置飞书更多功能可参考飞书官方文档飞书应用机器人配置需要配置的可以直接飞书书应用官方文档部署机器人创建配置创建好应用后点击Enter App Secret回车陆续输入飞书的App Secret和Enter Feishu App ID回车后选择WebSocket回车选择对应的飞书区域国内feishu.cn国外larksuite.com下面的◆ Group chat policy│ ● Allowlist - only respond in specific groups│ ○ Open - respond in all groups (requires mention)│ ○ Disabled - don’t respond in groups根据自己的需求选择一般使用默认即可如何获取飞书你自己的oc_ID可以通过以下方式找到群设置查看打开飞书群聊 - 点击右上角 […] - 点击 [设置] - 拉到最底部查看 [群 ID]。开发者工具使用 飞书开放平台调试台 的 API 获取当前应用所在的群列输入完ID后直接Skip for now直接yes先空格选中 直接Skip for now然后回车后面几个直接No就行Enable hooks?│ ◼Skip for no先空格选中 直接Skip for now然后回车群晖配置完成后会自动退出点击转回到继续配置群晖到这步就进入配置部署了等待启动即可了出现这个后就表示已经部署完成启动了可以在docker里面看到已经启动了游览器打开http://localhost:18789输入网关令牌登陆网关令牌获取在前面说到的配置文件路径里.openclaw/openclaw.json文件打开openclaw.json在Mac上显示或隐藏隐藏文件/文件夹快捷键打开“访达” (Finder)按下Command Shift .找到这个auth: { mode: token, token: 72a83e3764346ffd1d8e71d8f0eaafe47ce948da55cb853916962f50beec6c81 },里面的token数值就是网关令牌输入到网关令牌下面会出现pairing required需要配对在 MAC终端 输入授权配对命令docker exec -it openclaw-2026323-openclaw-gateway-1 node dist/index.js devices approve注意部署的openclaw-2026323-openclaw-gateway-1名称是否和启动的一致出现这个后再次点击连接即可登陆界面了这时候的大模型还是不可以使用的需要先配置好大模型这时候我们先配置大模型只要配置好了大模型后面想加什么功能直接教opencalw配置增加即可配置大模型进入配置文件路径里.openclaw/openclaw.json文件配置大模型的baseUrl和key 和可用模型默认是没有的直接复制我配置好的配置文件找到wizard: { lastRunAt: 2026-03-25T07:43:00.927Z, lastRunVersion: 2026.3.23, lastRunCommand: onboard, lastRunMode: local },在下面插入models: { mode: merge, providers: { godx-api: { baseUrl: https://web.openai.com/v1改成你自己的上游供应商, apiKey: sk-ozUdEx5dK1r1h1DoCe222BeAf1d28A86a16, api: openai-completions, models: [ { id: deepseek-chat, name: DeepSeek Chat, contextWindow: 128000, maxTokens: 16000 }, { id: Doubao-Seed-2.0-lite, name: Doubao Seed 2.0 Lite, contextWindow: 256000, maxTokens: 128000 }, { id: qwen3-vl-plus, name: Qwen3 VL Plus, contextWindow: 128000, maxTokens: 16000 }, { id: Doubao-Seed-2.0-pro, name: Doubao Seed 2.0 Pro, contextWindow: 256000, maxTokens: 128000 } ] } } }, agents: { defaults: { model: { primary: godx-api/deepseek-chat }, models: { godx-api/deepseek-chat: { alias: DeepSeek }, godx-api/Doubao-Seed-2.0-lite: { alias: Doubao }, godx-api/qwen3-vl-plus: { alias: Qwen3 VL }, godx-api/Doubao-Seed-2.0-pro: { alias: Doubao Pro } }, workspace: /home/node/.openclaw/workspace, compaction: { mode: safeguard } } },可以看到这行是agents默认的我们修改成自己的下面是我的自定义接口模型示范defaults: { model: { primary: godx-api/deepseek-chat }可在providers的models自己修改/新增自己需要使用的大模型{ id: qwen3-vl-plus, name: Qwen3 VL Plus, contextWindow: 128000, maxTokens: 16000 },修改默认 供应商/模型primary: godx-api/deepseek-chat自定义模型名称显示alias: Qwen3 VL配置好后保存即可 Mac是热加载会自动加载保存好的点击转回群晖部署继续这时候就可以畅玩openclaw了频道配置以及代理channels: { telegram: { enabled: true, dmPolicy: allowlist, botToken: 87362234617:AAHJTjMKnj5245iBMixgCC1hSw, groups: { *: { requireMention: true } }, allowFrom: [ 20553328 ], groupPolicy: allowlist, streaming: partial, proxy: http://192.168.1.5:1081 }, feishu: { enabled: true, appId: cli_a94923424bb6, appSecret: Kz38e2D23RlU4543435i7J8Jfm, connectionMode: websocket, domain: feishu, groupPolicy: allowlist, groupAllowFrom: [ oc_e8bdf925922435345342af37c4ed3 ] } },telegram 配置botToken后面改成自己的tgbotallowFrom改成自己的账号idproxy如果需要代理就改成你自己的代理地址对接微信openclaw Bot我-设置-插件-里面 有 详细的安装步骤docker部署安装方法docker exec -it openclaw-2026323-openclaw-gateway-1 npx -y tencent-weixin/openclaw-weixin-clilatest installopenclaw-openclaw-gateway-1这个是openclaw镜像名称安装好后扫码登录即可这时候就可以利用openclaw安装任何你想要安装的东西了比如帮我安装一个mcp注意事项配置文件openclaw.json不支持部分参数尽量不要让部分低智商模型去更改openclaw.json文件 不然会程序会报错启动不了需要改回来执行权限问题自更新了3.31版本后权限收缩了每条执行一下就好了upside_down_face openclaw config set tools.exec.ask off openclaw config set tools.exec.security full openclaw gateway restart或手动配置文件新增/修改openclaw.json文件tools: { profile: full, allow: [*], profile: coding, web: { search: { enabled: true, provider: tavily } }, exec: { host: gateway, security: full, ask: off } },遇到的错误解决方法control ui requires device identity (use HTTPS or localhost secure context)需要使用https或 localhost访问输入token出现pairing required提示ssh进入系统命令行 输入docker exec -it openclaw-openclaw-gateway-1 node dist/index.js devices approve出现[openclaw] CLI failed: Error: gateway closed (1008): unauthorized: gateway token mismatch[openclaw] CLI failed: Error: gateway closed (1008): unauthorized: gateway token mismatch (set gateway.remote.token to match gateway.auth.token) Gateway target: ws://127.0.0.1:18789 Source: local loopback Config: /home/node/.openclaw/openclaw.json Bind: lan at Object.onClose (file:///app/dist/call-BhjE3oIo.js:595:10) at WebSocket.anonymous (file:///app/dist/method-scopes-B2vIWWxl.js:2123:23) at WebSocket.emit (node:events:508:28) at WebSocket.emitClose (/app/node_modules/ws/lib/websocket.js:273:10) at Socket.socketOnClose (/app/node_modules/ws/lib/websocket.js:1346:15) at Socket.emit (node:events:508:28) at TCP.anonymous (node:net:346:12)直接跳过直接在终端命令里带上令牌强制执行跳过配置文件校验docker exec -it openclaw-openclaw-gateway-1 node dist/index.js devices approve --token 0a6098a7fdba3e1fa60b30890dc572640c180a0eb76464a2各平台对接方式对接微信openclaw我-设置-插件-里面 有 详细的安装步骤docker部署安装方法docker exec -it openclaw-openclaw-gateway-1 npx -y tencent-weixin/openclaw-weixin-clilatest install安装好后会出现二维码扫码后点击连接即可微信官方 OpenClaw 插件切换 agent扫码后默认会绑定到 main如果想绑定到别的 agent直接改配置就行1. 找到accountId在openclaw-weixin目录里看accounts.jsoncat accounts.json [ xx-im-bot ]这里的xx-im-bot就是accountId2. 在binding里加配置把agentId改成你要绑定的agent{ agentId: weixin, match: { channel: openclaw-weixin, accountId: xx-im-bot } }3. 可选在 channels 里补一下openclaw-weixin: { enable: true, accounts: { xx-im-bot: {} } }对接飞书openclawdocker exec -it openclaw-openclaw-gateway-1 npx -y larksuite/openclaw-lark-tools install飞书配对码docker exec -it openclaw-2026323-openclaw-gateway-1 openclaw pairing approve feishu 你的配对码飞书插件更新docker exec -it openclaw-openclaw-gateway-1 npx -y larksuite/openclaw-lark-tools updateOpenClaw 的 QQ 消息通道插件推荐https://github.com/Aliang1337/openclaw-napcat让 AI 助手通过自然语言完全控制 QQ 交互 —— 点赞、戳一戳、禁言、踢人、查看用户资料、管理群组等OpenClaw 多 Agent、多账户配置多账户不等于多 AgentdmScope也不等于Agent 隔离更准确一点说channels.channel.accounts决定这个渠道挂了几个账号agents.list决定系统里有几个真正独立的 Agentbindings决定某个账号或会话最终进哪个 Agentsession.dmScope只决定私聊历史怎么分桶避免串会话一份可以直接抄的多账号模板以企业微信自建应用wecom-app为例下面这份示例统一使用 Linux 风格路径例如~/.openclaw/workspace。如果你在 Windows 上对应路径通常会类似C:\Users\Administrator\.openclaw\workspaceC:\Users\Administrator\.openclaw\workspace-agent-name-1下面这份配置用企业微信自建应用wecom-app演示“多账号 多 Agent 独立机器人”应该怎么写。你如果使用其他渠道可以照着这个结构替换channel名和对应的凭证字段。其中 list.id、bindings.agentId、workspace 的名称可以修改{ agents: { defaults: { workspace: ~/.openclaw/workspace }, // 定义 Agent list: [ { id: agent-name-1, default: true, workspace: ~/.openclaw/workspace-agent-name-1 }, { id: agent-name-2, workspace: ~/.openclaw/workspace-agent-name-2 } ] }, // 会话隔离配置就按照这个来 session: { dmScope: per-account-channel-peer }, // 会话路由配置绑定agent和账号 bindings: [ { agentId: agent-name-1, match: { channel: wecom-app, accountId: account-name-1 } }, { agentId: agent-name-2, match: { channel: wecom-app, accountId: account-name-2 } } ], channels: { wecom-app: { // 默认账号 defaultAccount: account-name-1, // 添加多个账号的权限信息 accounts: { account-name-1: { enabled: true, webhookPath: /wecom-app, token: your-account-1-token, encodingAESKey: your-account-1-encoding-aes-key, corpId: your-corp-id, corpSecret: your-account-1-corp-secret, agentId: 1000002 }, account-name-2: { enabled: true, webhookPath: /wecom-app-bot2, token: your-account-2-token, encodingAESKey: your-account-2-encoding-aes-key, corpId: your-corp-id, corpSecret: your-account-2-corp-secret, agentId: 1000004 } } } } }很多“明明配了多个机器人却还是串线”的问题基本都能归结到这里[quote“chongwen, post:1, topic:1722987, username:chongwen”]只需要重点看懂三件事accounts里定义了两个渠道账号account-name-1和account-name-2agents.list里定义了两个独立 Agentagent-name-1和agent-name-2bindings把account-name-1路由到agent-name-1把account-name-2路由到agent-name-2注意显式写defaultAccount多账号场景里建议总是显式配置 { channels: { wecom-app: { defaultAccount: account-name-1 } } }最后-快捷获取配置给你的龙虾或其他AI编程工具说请读取并严格执行这个提示词 https://raw.githubusercontent.com/BytePioneer-AI/openclaw-multi-bot-config/main/doc/openclaw-config-generator-prompt.md 下面是账号信息 把 channels.channel.accounts 粘贴到这里 比如 dingtalk: defaultAccount: bot1, accounts: { bot1: { clientId: xxx, clientSecret: xxx }, bot2: { clientId: xxx, clientSecret: xxx } } }或者直接使用这份提示词发给openclaw请先阅读这篇文档并严格按文档里的规则生成 OpenClaw 配置 https://raw.githubusercontent.com/BytePioneer-AI/openclaw-multi-bot-config/main/doc/openclaw-multi-agent-multi-bot-config.md 任务目标 我要的是“多账户、多 Agent 完全隔离”模式不是 shared-agent。 请根据我下面提供的账号信息生成一个完整的 OpenClaw 配置片段只包含这 4 个顶级块 - agents - session - bindings - channels 生成要求 1. 每个 accountId 对应一个独立 agent。 2. 必须显式生成 agents.list。 3. 必须显式生成 bindings并使用 bindings.match.channel bindings.match.accountId 做路由。 4. session.dmScope 固定使用 per-account-channel-peer。 5. channels 下保留我提供的真实渠道字段名不要擅自改字段名不要发明不存在的字段。 6. 必须显式写 defaultAccount。 7. workspace 使用 Linux 风格路径格式为 ~/.openclaw/workspace-agent-id 8. OpenClaw 的 agentId 请使用字符串不要复用渠道账号里的业务字段作为 OpenClaw agentId除非我明确要求。 9. 如果渠道账号对象里本身有一个名为 agentId 的字段请把它当作渠道自己的配置字段不要和 OpenClaw 的 bindings[].agentId 混淆。 10. 输出必须是一个完整 JSON 代码块不要输出解释文字不要输出 markdown 列表不要省略字段。 11. 如果我给出的字段已经足够请直接生成只有在字段明显缺失、无法生成合法配置时才先提问。 补充约束 - 不要生成 providers、models、plugins、gateway、tools 等无关配置。 - 不要生成 peer 级复杂 bindings。 - 不要把 dmScope 当成 Agent 隔离手段。 - 不要省略 channels.channel.accounts。 - 默认按“一个账户对应一个 Agent”处理。 下面是账号信息 把你的 channels.channel.accounts 信息粘贴到这里比如 dingtalk: defaultAccount: bot1, accounts: { bot1: { clientId: xxx, clientSecret: xxx }, bot2: { clientId: xxx, clientSecret: xxx } } },飞书多Agent、多账户同理配置多个botfeishu: { streaming: true, blockStreaming: true, enabled: true, accounts: { bot1: { appId: cli_xxxxxxxx, appSecret: xxxxxxxx }, bot2: { appId: cli_xxxxxxxx, appSecret: xxxxxxxx } } },Openclaw heartbeat节省token的小技巧heartbeat相关配置之前是这样的heartbeat: { every: 30m, target: last, directPolicy: allow },发现请求体里面一直在同一个session一直在重复 “Read HEARTBEAT.md …”添加修改后的heartbeatheartbeat: { every: 30m, isolatedSession: true, lightContext: true, target: none, directPolicy: allow },isolatedSession写成true的意思是heartbeat 会在“没有 prior conversation history 的 isolated session”里运行能明显减少token消耗如果再启用lightContext那么比如AGENTS.md、USER.md、TOOLS.md、MEMORY.md之类的bootstrap文件就不会在heartbeat的时候注入只有HEARTBEAT.md会被注入上下文。所以如果你的HEARTBEAT.md写的很明确告诉openclaw要读哪个文件要干什么那就完全可以开启进一步节省token. 如果HEARTBEAT.md写的很模糊需要openclaw综合你的AGENTS.md,MEMORY.md之类的进行综合判断那可能还是别加了。target改为none就防止heartbeat的消息和用户消息放的太近修改后heartbeat的请求基本上只有10k左右token了每次的请求体也明显干净多了#零刻OpenClaw 零刻官方