2026 年 OpenClaw 常见入口包括 curl 一键脚本、npm 全局包,以及面向进程隔离的 Docker Compose 栈。本文对比「npm 优先」与「Docker 优先」在 Apple Silicon Mac(含 MacHTML 客户常用的云 Mac mini)上的落地差异,帮助你按安全基线、升级频率与自动化预算选型。
两条路径共同前提
无论哪种打包方式,2026 年教程普遍假设 CLI 与网关守护进程运行在 Node.js 22 及以上。还需要大模型供应商密钥(Anthropic、OpenAI 或本地 Ollama)以及出站 HTTPS。Apple Silicon 上建议关闭 Rosetta 再装 Node,避免误装 x64 二进制拖慢事件循环。
磁盘常被低估:至少预留 8 GB 给 npm 缓存与网关日志;若拉 Docker 基础镜像再加 4–6 GB。内存上,轻量 agent 循环约 2 GB,若网关旁再跑浏览器自动化技能,建议 4 GB 以上;若本地嵌入向量或多供应商并行,仍要上浮。
在 CI 与预发之间复制配置时,建议把 .env 样例与真实密钥文件分开入库:样例写清必填变量名与示例格式,密钥只留在租用机器或密钥管理器里。这样新同事从 SSH 登录到第一次成功 openclaw ping,可以在 一小时内完成,而不是在群里追问「你到底用的哪份 json」。
npm 全局:优劣与命令
在笔记本或租用的 Mac mini 上,这是最快拿到可执行 CLI 的方式。用 nvm 或官方 pkg 装好 Node 后:
npm install -g openclaw@latest
openclaw onboard --install-daemon优势包括 升级快(npm update -g openclaw)、which openclaw 即可定位、以及对接 macOS 钥匙串做 OAuth 时路径更直。劣势在多租户团队:全局安装模糊归属、无快照则回滚麻烦、也容易出现「用个人用户跑网关」而缺少独立服务账号的情况。
当你要把实验环境推到公网前,建议结合站内 反向代理、Tunnel 与加固 一文配置 nginx/Caddy 与令牌。
Docker Compose:优劣与命令
安全或合规要求 不可变基础设施 时,Docker 更顺手。常见流程是克隆上游仓库、用 CLI 容器完成 onboard,再拉起网关服务:
git clone https://github.com/openclaw/openclaw.git
cd openclaw
docker compose run --rm openclaw-cli onboard
docker compose up -d openclaw-gateway容器提供固定镜像版本、独立密钥卷,以及在不改宿主机路由的情况下挂接出站代理。代价是迭代慢——代码变更常要重建——以及在 macOS 上维护 Docker Desktop 或 Colima 的运维成本。云 Mac 上不少团队把 compose 项目放在 /opt/openclaw,用一条 launchd/systemd 单元统一重启。对需要审计轨迹的企业,可在 compose 里打开只追加日志卷,配合集中式采集,满足季度安全复盘时的溯源需求。
对照表
| 维度 | npm 全局 | Docker Compose |
|---|---|---|
首次跑通 openclaw | 约 5 分钟内 | 约 10–20 分钟(含拉镜像) |
| 升级成本 | 低(单条 npm 命令) | 中(拉镜像 + 重启) |
| 与宿主机隔离 | 弱 | 强 |
| 调试栈追踪 | 本机 node/lldb 方便 | 需 docker exec |
| 适配按天租用的云 Mac | 适合快速试错 | 适合长期在线网关 |
同一台云 Mac 上并存
成熟团队有时会 双轨:npm 负责交互实验,Docker 跑面向 Slack/Telegram Webhook 的准生产网关。目录与环境文件要分开,避免 API Key 串味。租用 Mac mini 时,在 onboard 完成后给 compose 项目打快照,并在文档里写清 SSH 登录后的重启顺序,方便同事接手。
M2/M3/M4 共享 arm64,二进制兼容性通常优于老旧 Intel 云主机——后者常让 Rosetta 与原生 Node 扩展纠缠。把 OpenClaw 放在 专用 MacHTML 节点 上,比循环使用电池老化的 MacBook 更利于 7×24 热稳定与风扇噪声控制。
暴露网关时的安全提醒
无论 npm 还是 Docker,不要在无鉴权情况下把网关绑到 0.0.0.0。2026 年初公开研究显示大量可发现的 agent 端点缺少令牌与出站过滤。应在前面加 nginx 或 Caddy 终结 TLS,把管理 API 限制在回环或专线。打包方式不改变你必须加固服务的事实。若团队已有零信任策略,可把网关管理面放进内网 DNS,仅对运维跳板机开放,减少公网扫描面。
排错:doctor 与日志
onboard 失败时先跑 openclaw doctor 或 docker compose run --rm openclaw-cli doctor,通常 30 秒内能列出 Node 版本不符、缺密钥、出站被墙等问题。提 issue 前保留这段 stdout 可省一半来回。
日志位置不同:npm 多在 ~/.openclaw/logs,Compose 常映射到 compose 文件旁的 ./data/logs。繁忙网关建议每周轮转日志;调试模式常开时,无人值守 agent 一周可写 约 200 MB。若模型接口间歇返回 429,应限流并发技能或本地缓存嵌入。
技能若写入 git 仓库,注意容器默认 root 会在 bind mount 上留下 root 属主文件,破坏 CI 检出。可在 compose 覆盖里降权或 onboard 后统一 chown。
把 OpenClaw 与 Playwright、CSS Lint 挂在同一仓库时,让 agent 工作区与 git 工作树同卷,才能一个 git status 看清改动;SSH 到远端 Mac 即便有 约 512 ms RTT,也好过 agent 看不到工作树导致坏选择器上线。
常见问题
用了 Docker 还需要在宿主机装 Node 吗?
容器内仍是 Node 运行时;宿主机只需 Docker 引擎与镜像/卷磁盘,可避免污染全局 npm。
哪种方式在每周发版时升级更快?
npm 全局通常一条 update 即可;Docker 需拉镜像并重启栈,更慢但跨机器更可复现。
curl 安装脚本与 Docker 能共存吗?
可以,但要隔离配置与端口,避免两个进程抢同一网关端口;生产流量建议只保留一条主路径。
网关 CPU 长期飙高要先查什么?
先看消息队列是否堆积、模型调用是否并行过多,再用系统监视器区分是 Node 事件循环阻塞还是子进程脚本失控;必要时临时降低轮询频率并开启采样级日志,避免整盘被 trace 写满。
租用 Mac mini 等于拥有可随时重装或快照的「沙箱机房」:比回收同事笔记本更快,也能让 Docker 网关在你本地合盖睡眠时仍在线。Apple Silicon 让 Node 事件循环在多路消息轮询时仍顺滑,macOS 也是许多 OpenClaw 插件默认的路径与钥匙串假设。若你在迭代 HTML/CSS 自动化技能,原生栈能减少「容器里一切正常、到 Safari 演示却翻车」的落差。
用 Apple Silicon 7×24 跑 OpenClaw 预发
开一台云 Mac mini 试 Docker 网关或 npm 实验环境,SSH 连上即可对比两条路径,项目间隙再降配。