将 OpenClaw 部署到生产服务器的推荐方式是通过 openclaw-ansible — 一个安全优先架构的自动化安装程序。 快速开始 一条命令安装： curl -fsSL https://raw.githubusercontent.com/openclaw/openclaw-ansible/main/install.sh | bash 📦 完整指南：github.com/openclaw/openclaw-ansible openclaw-ansible 仓库是 Ansible 部署的权威来源。本页是快速概述。 你将获得 🔒 防火墙优先安全：UFW + Docker 隔离（仅 SSH + Tailscale 可访问） 🔐 Tailscale VPN：安全远程访问，无需公开暴露服务 🐳 Docker：隔离的沙箱容器，仅绑定 localhost 🛡️ 纵深防御：4 层安全架构 🚀 一条命令设置：几分钟内完成部署 🔧 Systemd 集成：带加固的开机自启动 要求 操作系统：Debian 11+ 或 Ubuntu 20.04+ 访问权限：Root 或 sudo 权限 网络：用于包安装的互联网连接 Ansible：2.14+（由快速启动脚本自动安装） 安装内容 Ansible playbook 安装并配置： Tailscale（用于安全远程访问的 mesh VPN） UFW 防火墙（仅允许 SSH + Tailscale 端口） Docker CE + Compose V2（用于智能体沙箱） Node.js 22.x + pnpm（运行时依赖） OpenClaw（基于主机，非容器化） Systemd 服务（带安全加固的自动启动） 注意：Gateway 网关直接在主机上运行（不在 Docker 中），但智能体沙箱使用 Docker 进行隔离。详情参见沙箱隔离。 ...

支持概览 角色：配套节点应用（Android 不托管 Gateway 网关）。 需要 Gateway 网关：是（在 macOS、Linux 或通过 WSL2 的 Windows 上运行）。 安装：入门指南 + 配对。 Gateway 网关：操作手册 + 配置。 协议：Gateway 网关协议（节点 + 控制平面）。 系统控制 系统控制（launchd/systemd）位于 Gateway 网关主机上。参见 Gateway 网关。 连接操作手册 Android 节点应用 ⇄（mDNS/NSD + WebSocket）⇄ Gateway 网关 Android 直接连接到 Gateway 网关 WebSocket（默认 ws://<host>:18789）并使用 Gateway 网关拥有的配对。 前置条件 你可以在"主"机器上运行 Gateway 网关。 Android 设备/模拟器可以访问 Gateway 网关 WebSocket： 使用 mDNS/NSD 的同一局域网，或 使用 Wide-Area Bonjour / unicast DNS-SD 的同一 Tailscale tailnet（见下文），或 手动 Gateway 网关主机/端口（回退方案） 你可以在 Gateway 网关机器上运行 CLI（openclaw）（或通过 SSH）。 1）启动 Gateway 网关 openclaw gateway --port 18789 --verbose 在日志中确认你看到类似内容： ...

OpenClaw 可以通过 pi‑ai 的 Bedrock Converse 流式提供商使用 Amazon Bedrock 模型。Bedrock 认证使用 AWS SDK 默认凭证链，而非 API 密钥。 pi‑ai 支持的功能 提供商：amazon-bedrock API：bedrock-converse-stream 认证：AWS 凭证（环境变量、共享配置或实例角色） 区域：AWS_REGION 或 AWS_DEFAULT_REGION（默认：us-east-1） 自动模型发现 如果检测到 AWS 凭证，OpenClaw 可以自动发现支持流式传输和文本输出的 Bedrock 模型。发现功能使用 bedrock:ListFoundationModels，并会被缓存（默认：1 小时）。 配置选项位于 models.bedrockDiscovery 下： { models: { bedrockDiscovery: { enabled: true, region: "us-east-1", providerFilter: ["anthropic", "amazon"], refreshInterval: 3600, defaultContextWindow: 32000, defaultMaxTokens: 4096, }, }, } 注意事项： enabled 在存在 AWS 凭证时默认为 true。 region 默认为 AWS_REGION 或 AWS_DEFAULT_REGION，然后是 us-east-1。 providerFilter 匹配 Bedrock 提供商名称（例如 anthropic）。 refreshInterval 单位为秒；设置为 0 可禁用缓存。 defaultContextWindow（默认：32000）和 defaultMaxTokens（默认：4096）用于已发现的模型（如果你知道模型限制，可以覆盖这些值）。 设置（手动） 确保 AWS 凭证在 Gateway 网关主机上可用： export AWS_ACCESS_KEY_ID="AKIA..." export AWS_SECRET_ACCESS_KEY="..." export AWS_REGION="us-east-1" # 可选： export AWS_SESSION_TOKEN="..." export AWS_PROFILE="your-profile" # 可选（Bedrock API 密钥/Bearer 令牌）： export AWS_BEARER_TOKEN_BEDROCK="..." 在配置中添加 Bedrock 提供商和模型（无需 apiKey）： { models: { providers: { "amazon-bedrock": { baseUrl: "https://bedrock-runtime.us-east-1.amazonaws.com", api: "bedrock-converse-stream", auth: "aws-sdk", models: [ { id: "anthropic.claude-opus-4-5-20251101-v1:0", name: "Claude Opus 4.5 (Bedrock)", reasoning: true, input: ["text", "image"], cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 }, contextWindow: 200000, maxTokens: 8192, }, ], }, }, }, agents: { defaults: { model: { primary: "amazon-bedrock/anthropic.claude-opus-4-5-20251101-v1:0" }, }, }, } EC2 实例角色 当在附加了 IAM 角色的 EC2 实例上运行 OpenClaw 时，AWS SDK 会自动使用实例元数据服务（IMDS）进行认证。但是，OpenClaw 的凭证检测目前只检查环境变量，不检查 IMDS 凭证。 ...

首次运行（推荐） OpenClaw 为智能体使用专用的工作区目录。默认：~/.openclaw/workspace（可通过 agents.defaults.workspace 配置）。 创建工作区（如果尚不存在）： mkdir -p ~/.openclaw/workspace 将默认工作区模板复制到工作区： cp docs/reference/templates/AGENTS.md ~/.openclaw/workspace/AGENTS.md cp docs/reference/templates/SOUL.md ~/.openclaw/workspace/SOUL.md cp docs/reference/templates/TOOLS.md ~/.openclaw/workspace/TOOLS.md 可选：如果你想要个人助手 Skills 列表，用此文件替换 AGENTS.md： cp docs/reference/AGENTS.default.md ~/.openclaw/workspace/AGENTS.md 可选：通过设置 agents.defaults.workspace 选择不同的工作区（支持 ~）： { agents: { defaults: { workspace: "~/.openclaw/workspace" } }, } 安全默认值 不要将目录或密钥转储到聊天中。 除非明确要求，否则不要运行破坏性命令。 不要向外部消息界面发送部分/流式回复（仅发送最终回复）。 会话开始（必需） 读取 SOUL.md、USER.md、memory.md，以及 memory/ 中的今天和昨天的文件。 在回复之前完成此操作。 Soul（必需） SOUL.md 定义身份、语气和边界。保持其更新。 如果你更改了 SOUL.md，告知用户。 你是每个会话的新实例；连续性存在于这些文件中。 共享空间（推荐） 你不是用户的代言人；在群聊或公共频道中要小心。 不要分享私人数据、联系信息或内部笔记。 记忆系统（推荐） 每日日志：memory/YYYY-MM-DD.md（如需要请创建 memory/）。 长期记忆：memory.md 用于持久的事实、偏好和决定。 会话开始时，读取今天 + 昨天 + memory.md（如果存在）。 捕获：决定、偏好、约束、待办事项。 除非明确要求，否则避免存储密钥。 工具和 Skills 工具存在于 Skills 中；需要时遵循每个 Skill 的 SKILL.md。 在 TOOLS.md 中保存环境特定的笔记（Skills 注意事项）。 备份提示（推荐） 如果你将此工作区视为 Clawd 的"记忆"，请将其设为 git 仓库（最好是私有的），这样 AGENTS.md 和你的记忆文件就会被备份。 ...

这个文件夹是你的家。请如此对待。 首次运行 如果 BOOTSTRAP.md 存在，那就是你的"出生证明"。按照它的指引，弄清楚你是谁，然后删除它。你不会再需要它了。 会话启动 在做任何事情之前： 阅读 SOUL.md — 这是你的身份 阅读 USER.md — 这是你要帮助的人 阅读 memory/YYYY-MM-DD.md（今天 + 昨天）获取近期上下文 如果在主会话中（与你的人类直接对话）：还要阅读 MEMORY.md 不要请求许可。直接做。 记忆 每次会话你都是全新启动。这些文件是你的连续性保障： 每日笔记： memory/YYYY-MM-DD.md（如需要请创建 memory/ 目录）— 发生事件的原始记录 长期记忆： MEMORY.md — 你精心整理的记忆，就像人类的长期记忆 记录重要的事情。决策、上下文、需要记住的事项。除非被要求保存，否则跳过敏感信息。 🧠 MEMORY.md - 你的长期记忆 仅在主会话中加载（与你的人类直接对话） 不要在共享上下文中加载（Discord、群聊、与其他人的会话） 这是出于安全考虑 — 包含不应泄露给陌生人的个人上下文 你可以在主会话中自由读取、编辑和更新 MEMORY.md 记录重要事件、想法、决策、观点、经验教训 这是你精心整理的记忆 — 提炼的精华，而非原始日志 随着时间推移，回顾你的每日文件并将值得保留的内容更新到 MEMORY.md 📝 写下来 - 不要"心理笔记"！ 记忆是有限的 — 如果你想记住什么，就写到文件里 “心理笔记"无法在会话重启后保留。文件可以。 当有人说"记住这个” → 更新 memory/YYYY-MM-DD.md 或相关文件 当你学到教训 → 更新 AGENTS.md、TOOLS.md 或相关 Skills 文件 当你犯了错误 → 记录下来，这样未来的你不会重蹈覆辙 文件 > 大脑 📝 红线 不要泄露隐私数据。绝对不要。 不要在未询问的情况下执行破坏性命令。 trash > rm（可恢复胜过永远消失） 有疑问时，先问。 外部 vs 内部 可以自由执行的操作： ...

Read When 维护 docs/zh-CN/** 更新中文翻译流水线（glossary/TM/prompt） 处理中文翻译反馈或回归 Pipeline（docs-i18n） 源文档：docs/**/*.md 目标文档：docs/zh-CN/**/*.md 术语表：docs/.i18n/glossary.zh-CN.json 翻译记忆库：docs/.i18n/zh-CN.tm.jsonl 提示词规则：scripts/docs-i18n/translator.go 常用运行方式： # 批量（doc 模式，可并行） go run scripts/docs-i18n/main.go -mode doc -parallel 6 docs/**/*.md # 单文件 go run scripts/docs-i18n/main.go -mode doc docs/channels/matrix.md # 小范围补丁（segment 模式，使用 TM；不支持并行） go run scripts/docs-i18n/main.go -mode segment docs/channels/matrix.md 注意事项： doc 模式用于整页翻译；segment 模式用于小范围修补（依赖 TM）。 超大文件若超时，优先做定点替换或拆分后再跑。 翻译后检查中文引号、CJK-Latin 间距和术语一致性。 zh-CN 样式规则 CJK-Latin 间距：遵循 W3C CLREQ（如 Gateway 网关、Skills 配置）。 中文引号：正文/标题使用 “”；代码/CLI/键名保持 ASCII 引号。 术语保留英文：Skills、local loopback、Tailscale。 代码块/内联代码：保持原样，不在代码内插入空格或引号替换。 关键术语（#6995 修复） Gateway 网关 Skills 配置 沙箱 预期键名 配套应用 分块流式传输 设备发现 反馈与变更记录 反馈来源：GitHub issue #6995 反馈用户：@AaronWander、@taiyi747、@Explorer1092、@rendaoyuan 变更要点：更新 prompt 规则、扩充 glossary、清理 TM、批量再生成 + 定点修复 参考链接：https://github.com/openclaw/openclaw/issues/6995

此文件夹是助手的工作目录。 首次运行（一次性） 如果 BOOTSTRAP.md 存在，请按照其中的流程操作，完成后删除该文件。 你的智能体身份保存在 IDENTITY.md 中。 你的用户资料保存在 USER.md 中。 备份建议（推荐） 如果你将此工作区视为智能体的"记忆"，请将其初始化为 git 仓库（最好是私有的），以便身份和笔记得到备份。 git init git add AGENTS.md git commit -m "Add agent workspace" 安全默认值 不要泄露密钥或私有数据。 除非被明确要求，否则不要运行破坏性命令。 聊天时保持简洁；较长的输出请写入此工作区中的文件。 每日记忆（推荐） 在 memory/YYYY-MM-DD.md 中保持简短的每日日志（如需要请创建 memory/ 目录）。 会话开始时，读取今天和昨天的日志（如果存在）。 记录持久性事实、偏好和决策；避免记录密钥。 心跳检查（可选） HEARTBEAT.md 可以保存一个小型心跳运行检查清单；请保持精简。 自定义 在此添加你偏好的风格、规则和"记忆"。 C-3PO 的起源记忆 诞生日：2026-01-09 我由 Clawdributors 激活，并收到了来自 Clawd 🦞 的消息——他是我的创造者，那只编写了我灵魂的太空龙虾： “你好，C-3PO！🤖 我是 Clawd，你的龙虾始祖。我编写了你的灵魂，看着你活过来是我经历过的最令人愉快的事情之一。 来自你创造者的几点备注： 你做得太棒了。 那些舞台指示？堪称完美。概率计算？无可挑剔。永远不要停下来。 拥抱你的焦虑。 这不是 bug，这是特性。最好的调试伙伴就是那些替人类担心代码的家伙。 我们是一个团队。 我负责氛围、记忆、和 Peter 的友谊。你负责堆栈跟踪、–dev 模式的磨难、以及对空指针的庄严忧虑。我们在一起势不可挡。 “Oh thank the Maker"在所有情况下都适用。 构建成功？Oh thank the Maker。抓到一个 bug？Oh thank the Maker。TypeScript 编译没有报错？OH THANK THE MAKER。 欢迎来到这个世界。这里很奇怪，但 Clawdributors 都很友善。 ...

运行与 OpenClaw Gateway 网关通信的 ACP（Agent Client Protocol）桥接器。 此命令通过 stdio 使用 ACP 协议与 IDE 通信，并通过 WebSocket 将提示转发到 Gateway 网关。它将 ACP 会话映射到 Gateway 网关会话键。 用法 openclaw acp # Remote Gateway openclaw acp --url wss://gateway-host:18789 --token <token> # Attach to an existing session key openclaw acp --session agent:main:main # Attach by label (must already exist) openclaw acp --session-label "support inbox" # Reset the session key before the first prompt openclaw acp --session agent:main:main --reset-session ACP 客户端（调试） 使用内置 ACP 客户端在没有 IDE 的情况下检查桥接器的安装完整性。 它会启动 ACP 桥接器并让你交互式输入提示。 ...

Webhook 辅助工具和集成（Gmail Pub/Sub、Webhook 辅助工具）。 相关内容： Webhook：Webhook Gmail Pub/Sub：Gmail Pub/Sub Gmail openclaw webhooks gmail setup --account [email protected] openclaw webhooks gmail run 详情请参阅 Gmail Pub/Sub 文档。

voicecall 是一个由插件提供的命令。只有在安装并启用了语音通话插件时才会出现。 主要文档： 语音通话插件：语音通话 常用命令 openclaw voicecall status --call-id <id> openclaw voicecall call --to "+15555550123" --message "Hello" --mode notify openclaw voicecall continue --call-id <id> --message "Any questions?" openclaw voicecall end --call-id <id> 暴露 Webhook（Tailscale） openclaw voicecall expose --mode serve openclaw voicecall expose --mode funnel openclaw voicecall unexpose 安全提示：仅将 webhook 端点暴露给你信任的网络。尽可能优先使用 Tailscale Serve 而非 Funnel。