2026 自托管 OpenClaw：
Gateway 安装、常驻与云端 Mac 选型指南

如果你已经决定用 OpenClaw 把「聊天软件里的对话」升级成「能读文件、跑命令、接技能（Skills）的个人助理」，真正卡住团队的往往不是模型选型，而是 Gateway 常驻在哪里、如何按官方路径装守护进程、以及消息面与 Shell 权限的边界。本文面向要在自家或公司环境落地 OpenClaw 的读者：先拆痛点，再给一张「本机 / 小主机 / 云端 Mac」的决策表，随后给出至少六步可复现的官方推荐安装链路（命令与 Node 版本直接引用仓库 README），最后附上三条以上可引用的硬参数与上线前安全清单。

读完你应能回答三件事：① 该用哪条安装命令与哪档 Node；② 你的场景更适合笔记本、家里长期开机机器，还是专门租一台裸金属 Mac做 7×24 控制面；③ 上线前哪些权限与密钥习惯必须改掉。文中涉及的价格与区域以 NOVAKVM 定价页 为准；更细的操作问题可对照 帮助中心 与 OpenClaw 官方文档交叉验证。

[ SECTION_01 ] // PAIN_MAP 自托管 OpenClaw Gateway 时，团队最常踩的坑有哪些

• 把 Gateway 跑在「会合盖睡觉」的主力笔记本上：睡眠即断链，消息渠道与定时任务表现成「随机不可用」，排障时还容易误以为是模型或 Channel 配置坏了。
• Node 版本漂移：OpenClaw 在 README 中写死了推荐运行时；若用发行版自带的过旧 Node，常在全局安装或运行 TypeScript 链路时遇到难以理解的报错。
• 混淆「对话入口」与「执行面」：WhatsApp、Telegram、企业微信等渠道只是 UI；真正承担编排与执行的是本机或服务器上的 Gateway。把两者混在同一台「开发机」上，权限与依赖污染会指数级上升。
• 密钥与令牌躺在聊天里：Agent 一旦具备读文件与执行能力，任何被转发进群的密钥、Cookie、内网地址都会变成可被技能链间接读取的风险面。
• 没有「可回滚的基线」：升级 CLI 或切换模型供应商时，缺少独立工作区快照与配置备份，导致一次升级把生产助理拖进长时间不可用。

[ SECTION_02 ] // DECISION_MATRIX 笔记本、家里小主机和云端 Mac：Gateway 常驻怎么选

下面用「维度 × 三种部署」对照谁更适合做 OpenClaw Gateway 的长期宿主；不评价模型能力。成本请结合你所在地区账单；窄屏可横向滑动表格。

当 OpenClaw 需要稳定对接 iMessage、BlueBubbles、Xcode 相关脚本或 Apple 生态内的自动化时，宿主是 macOS 往往更省心；此时若你不希望把公司密钥与个人照片混在同一台物理机上，把 Gateway 迁到专用裸金属云 Mac是常见架构分流手段。

[ SECTION_03 ] // INSTALL_RUNBOOK 从零到常驻：按官方 README 走通安装与引导

以下步骤与命令均整理自 OpenClaw 仓库 main 分支 README 的「Install (recommended)」与「Quick start」段落；若你阅读本文时仓库已更新，请优先核对下列地址：

https://github.com/openclaw/openclaw/blob/main/README.md

https://docs.openclaw.ai/start/getting-started

1. 准备运行时：安装 Node 24（推荐）或 Node 22.14 及以上，与 README 声明保持一致，避免发行版自带旧 Node。
2. 全局安装 CLI：在终端执行 npm install -g openclaw@latest；若你更偏好 pnpm，可使用 README 给出的等价全局安装命令。
3. 运行官方引导并安装守护进程：执行 openclaw onboard --install-daemon，按向导完成 Gateway、工作区、渠道与技能的初始化；该命令会把 Gateway 安装为 launchd（macOS）或 systemd 用户服务（Linux），以便后台常驻。
4. 对照 Getting Started 完成鉴权与配对：按文档处理账号登录、设备配对、首个 Channel 的接入顺序；不要跳过文档中关于「谁可以给你的助理发指令」的章节。
5. 前台排障（可选）：README 的 Quick start 给出了示例 openclaw gateway --port 18789 --verbose，用于观察 Gateway 日志；端口与标志以当前版本文档为准。
6. 固定宿主与运维习惯：选定一台长期不关机的 Mac 或服务器作为唯一「执行面」，为其建立独立系统用户、SSH 密钥轮换策略与配置备份；升级 CLI 前先导出工作区配置。

$ node -v
v24.x.x   # 推荐对齐 README：Node 24 或 Node 22.14+

$ npm install -g openclaw@latest

$ openclaw onboard --install-daemon

# 可选：前台查看 Gateway 日志（README Quick start 示例）
$ openclaw gateway --port 18789 --verbose

[ SECTION_04 ] // HARD_FACTS README 与 LICENSE 里值得写进技术评审的硬参数

• 运行时门槛：OpenClaw README 写明推荐使用 Node 24，最低要求为 Node 22.14+；这是写进采购与镜像基线时的第一行数字。（来源：openclaw/openclaw README）
• 守护进程形态：openclaw onboard --install-daemon 会把 Gateway 安装为 launchd 或 systemd 用户级服务，而不是「开一个终端窗口挂着」。（来源：同上 README「Install (recommended)」）
• 支持矩阵：官方 README 声明 CLI 引导路径覆盖 macOS、Linux、Windows（通过 WSL2，且强烈建议用 WSL2）；在 Windows 裸跑是否受支持，以文档为准，不要凭直觉假设。（来源：同上 README「Preferred setup」）
• 许可证与版权：仓库根目录 LICENSE 标明为 MIT License，Copyright 为 2025 Peter Steinberger；对外分发镜像或二次打包前应保留许可证副本。（来源：raw.githubusercontent.com/openclaw/openclaw/main/LICENSE）

[ SECTION_05 ] // SECURITY_GATE 上线前最小安全检查单：别让助理变成横向移动入口

• 为 Gateway 单独创建系统用户，限制其 home 目录与 sudo 范围；生产密钥放入该用户可读、其他用户不可读的目录。
• 在消息渠道侧开启最小可见性：优先使用 DM 或受限群组，避免把助理拉进「全员灌水群」。
• 把模型供应商密钥放在环境变量或专用密钥文件里，禁止在群聊里粘贴；定期轮换并记录轮换日期。
• 为工作区与配置建立自动备份；重大变更前打标签，确保「一键回到上周可用状态」。
• 阅读官方安全相关子命令与文档（README 中指向 docs 的链接集合），在上线前跑一次文档建议的审计流程。

[ SECTION_06 ] // PLATFORM_CHOICE 想要稳定的个人 Agent：为什么裸金属云 Mac 常常是更优解

把 OpenClaw Gateway 绑在会休眠的笔记本上，本质是把「生产级控制面」托管给不稳定的电源与网络策略；把执行面与个人数据混在同一台机器上，则让一次误授权的技能链可能波及相册、浏览器会话与企业仓库。家里小主机虽能 7×24，但你仍要自管穿透、系统补丁与磁盘健康——任何一环掉链子，助理在渠道侧的表现都是「间歇性抽风」。

对于需要 macOS 原生能力、长期在线、且希望把风险面与个人设备隔离 的团队，更干净的做法往往是：在 专用裸金属 Mac 云节点 上运行 Gateway，把 SSH、监控与备份策略都围绕「这一台就是助理的底盘」来设计；需要跑 Xcode、脚本或与 Apple 生态紧密集成的任务时，这种拓扑也更容易通过变更窗口管理。

若你正在对比「自购 Mac mini 放机房」与「按月上云」，建议直接打开 NOVAKVM 定价页 做现金流表，并在 订购页 拉起一台试验节点跑一周 Gateway 负载；对 iOS CI/CD 与 AI Agent 自动化而言，NOVAKVM 的 Mac Mini 云端裸金属租赁通常意味着更可预测的电源与网络、以及把助理与个人笔电解耦后的清晰边界。更细的部署问题可结合 帮助中心 与 OpenClaw 官方文档一起查。