В 2026 году OpenClaw предлагает несколько точек входа: curl-установщик, глобальный npm-пакет и стек Docker Compose для команд, которым нужна изоляция процессов. Это руководство сравнивает npm-first и Docker-first на Mac с Apple Silicon—в частности облачные аренды Mac mini у клиентов MacHTML—чтобы выбрать путь по уровню безопасности, темпу обновлений и бюджету автоматизации.
Общие требования для обоих путей
Независимо от упаковки OpenClaw ожидает Node.js 22 или новее для CLI и gateway-демонов, на которые ссылаются многие туториалы 2026 года. Нужен ключ AI-провайдера—Anthropic, OpenAI или локальная точка Ollama—и исходящий HTTPS для вызовов моделей. На Apple Silicon держите Rosetta выключенной для Node-нагрузок, чтобы случайно не поставить x64-бинарники с просадкой производительности.
Диск важнее, чем кажется: закладывайте минимум 8 ГБ свободно под npm-кэш и логи шлюза и ещё 4–6 ГБ, если тянете базовые Docker-слои. RAM: 2 ГБ для лёгкого цикла агента и 4 ГБ и больше, если параллельно с шлюзом крутятся навыки браузерной автоматизации. Это типичные цифры для staging; поднимайте выше при локальных эмбеддингах или нескольких провайдерах в памяти.
Заранее проверьте сетевые политики: корпоративные файрволы иногда режут стриминг или конкретные TLS-промежутки. Короткий curl к API провайдера с целевой машины сэкономит часы при онбординге.
Учитывайте часовые пояса и окна обслуживания: если команда распределена по континентам, зафиксируйте, кто может ночью перезапускать compose-стеки и как откатываться без потери данных. Односторонний runbook («только npm» или «только Docker») снижает панику, когда основной мейнтейнер в отпуске, а замена привыкла к другой линии упаковки.
Глобальный npm: плюсы, минусы, команды
npm-путь — самый быстрый способ получить рабочую CLI на ноутбуке разработчика или арендованном Mac mini. После установки Node через nvm или официальный pkg:
npm install -g openclaw@latest
openclaw onboard --install-daemonСильные стороны: мгновенные обновления (npm update -g openclaw), простой дебаг через which openclaw, нативный доступ к связке с macOS Keychain при OAuth. Слабые места проявляются в мультитенанте: глобальные установки размывают владение, усложняют откат без снимка машины и соблазняют гонять шлюзы под личным пользователем без сервис-аккаунта.
Для туториалов по HTML/CSS-автоматизации на этом сайте сочетайте npm-путь со статьёй про обратные прокси и туннели, как только выходите за пределы localhost-экспериментов.
В крупных компаниях помогает внутренний npm-реестр или версионированный wrapper-скрипт, чтобы у всех была одна минорная версия—иначе баги не воспроизводятся между столами.
Docker Compose: плюсы, минусы, команды
Docker уместен, когда безопасность или комплаенс требуют неизменяемой инфраструктуры. Типичный bootstrap клонирует апстрим-репозиторий, один раз гоняет CLI в контейнере для онбординга, затем поднимает сервис шлюза:
git clone https://github.com/openclaw/openclaw.git
cd openclaw
docker compose run --rm openclaw-cli onboard
docker compose up -d openclaw-gatewayКонтейнеры дают зафиксированные образы, отдельные тома для секретов и возможность повесить egress-прокси, не трогая сетевой стек хоста. Минусы: медленнее итерации—каждое изменение кода может потребовать пересборки—и операционные затраты на здоровье Docker Desktop или Colima под macOS. На облачных Mac mini многие кладут compose-файлы в /opt/openclaw и перезапускают стеки одной командой systemd или launchd plist.
В продакшене закрепляйте образы: избегайте «голого» latest без digest, если аудиторы ждут воспроизводимых сборок.
Сравнительная таблица
| Измерение | npm global | Docker Compose |
|---|---|---|
Время до первой команды openclaw | Меньше 5 минут | 10–20 минут (pull образа) |
| Трение при обновлении | Низкое (одна команда npm) | Среднее (pull + рестарт) |
| Изоляция от хоста | Минимальная | Сильная |
| Отладка стектрейсов | Просто нативный lldb/node | Нужен docker exec |
| Подходит для эфемерных облачных Mac | Отлично для коротких спайков | Отлично для долгоживущих шлюзов |
Если команда оценивает оба пути параллельно, фиксируйте измеримые KPI: время до «первого успешного skill», пики CPU на батче эмбеддингов и среднюю задержку шлюза—а не только субъективное «быстро».
Оба варианта на одном облачном Mac
Продвинутые команды иногда держат две установки: npm для интерактивных экспериментов и Docker для продакшен-ориентированного шлюза под вебхуки Slack или Telegram. Разделяйте каталоги и env-файлы, чтобы API-ключи не пересекались. На арендованном Mac mini сделайте снимок compose-проекта после онбординга и опишите порядок рестарта для коллег по SSH.
Так как Apple Silicon делит arm64 между M2, M3 и M4, бинарная совместимость редко стопорит—в отличие от старых Intel-облаков, где Rosetta усложняла аддоны Node. Поэтому связка OpenClaw с выделенным узлом MacHTML выигрывает у старого MacBook с умирающей батареей: предсказуемый терморежим и аптайм 24/7 без вентилятора под столом.
Стратегия бэкапа: экспортируйте compose-overrides и зашифрованные секреты отдельно; голый снимок тома без документации слабо помогает при инциденте.
Безопасность открытых шлюзов
npm или Docker: не вешайте шлюз на 0.0.0.0 без аутентификации. Исследования начала 2026 показали десятки тысяч обнаруживаемых агент-эндпоинтов; большинству не хватало токенов или egress-фильтров. Ставьте nginx или Caddy спереди, терминируйте TLS и ограничивайте admin API loopback или VPN. Оба пути установки это поддерживают—выбор упаковки не снимает обязанность укреплять сервис.
Дополняйте токены и allowlist IP лимитами частоты: многие атаки — это широкое сканирование, не целевой APT.
На дистанции окупается периодический пентест или хотя бы автоматическое сканирование портов staging-домена, когда туннели включены. Много дыр появляется не в ядре OpenClaw, а в ошибочных фрагментах Caddy или nginx, которые случайно выставляют наружу admin-маршруты. Включите в чеклист и внутренние дашборды, которые разработчики открывают по привычке без VPN. Это снижает риск утечки метрик и ключей из-за устаревших закладок в браузере.
Диагностика: doctor и логи
При провале онбординга начните с openclaw doctor (npm) или docker compose run --rm openclaw-cli doctor (контейнер). Команда за примерно 30 секунд показывает рассинхрон версий Node, отсутствующие ключи API и заблокированные исходящие порты. Сохраните stdout до тикетов—это сокращает переписку с мейнтейнерами вдвое.
Пути логов расходятся: npm обычно пишет в ~/.openclaw/logs, а compose-стеки мапят тома на что-то вроде ./data/logs рядом с compose-файлом. Ротируйте логи еженедельно на загруженных шлюзах; без присмотра агенты при включённом debug дают 200 МБ в неделю. При прерывистых 429 от провайдеров моделей душите параллельные skills или кэшируйте эмбеддинги локально.
Проверяйте права ФС, когда skills пишут в каталоги репозитория. Docker по умолчанию root внутри контейнера и может оставить root-owned артефакты на bind-mount репо. Добавьте non-root в overrides compose или chown томов после онбординга, чтобы CI-checkout оставался чистым.
Команды, автоматизирующие рефакторы HTML/CSS, часто цепляют OpenClaw с Playwright или линтерами из того же репо. Держите рабочее пространство агента на том же томе, что и git-checkout—npm или Docker—чтобы ревью оставалось одним git status. 512 мс RTT по SSH к удалённому Mac весят меньше, чем сломанные селекторы из-за того, что агент не видел рабочее дерево.
FAQ
Убирает ли Docker необходимость в Node на хосте?
Внутри контейнера по-прежнему выполняются Node-бинарники OpenClaw; хосту нужен только рабочий Docker Engine и диск под образы и тома. Глобальное дерево npm на хосте не засоряется.
Какой путь быстрее обновляется при еженедельных релизах OpenClaw?
Глобальные npm-установки обычно тянут новые сборки одной командой npm update. Docker-пути требуют pull образов и перезапуска compose-стеков—медленнее, но воспроизводимее между машинами.
Можно ли смешать curl-установщик и Docker на одном хосте?
Да, но изолируйте каталоги конфигурации и порты. Скрипт curl может класть бинарники в /usr/local, а Compose монтирует отдельный том конфигурации; коллизии возникают, когда оба пытаются занять один порт шлюза. Выберите один основной runtime для продакшен-трафика и считайте второй черновой средой.
Аренда Mac mini даёт «чистую комнату» для проверки обоих подходов: быстрее снести или перепровижнить, чем отбирать ноутбук у разработчика, и держать долгоживущие Docker-шлюзы онлайн, пока локальная машина спит. Производительность Apple Silicon сохраняет отзывчивость Node event loop даже когда несколько агентов опрашивают messaging API, а macOS остаётся референсной платформой, которую многие плагины OpenClaw предполагают для путей и Keychain. Если вы итерируете навыки HTML/CSS-автоматизации, нативный стек снижает сюрпризы «работает в моём контейнере» перед демо в Safari стейкхолдерам.
Круглосуточный staging OpenClaw на Apple Silicon
Поднимите облачный Mac mini для Docker-шлюзов или npm-экспериментов. Зайдите по SSH, сравните пути установки, масштабируйте вниз между проектами.