OpenClaw Onboarding в 2026: режимы шлюза, установка демона и TCC macOS на облачном Mac

Первый запуск OpenClaw на macOS часто решает, останется ли день продуктивным: режим шлюза, фоновые демоны и запросы Transparency, Consent, and Control (TCC) связаны между собой. Этот сценарий на 2026 год проходит openclaw onboard, момент для --install-daemon, поведение LaunchAgent ai.openclaw.gateway и синхронизацию десктоп-приложения с глобальной CLI — особенно если среда крутится на арендованном Mac mini по SSH или VNC. О файлах конфигурации после onboarding читайте openclaw.json, .env и профили.

Требования: Node 22/24 и установка CLI

Документация OpenClaw ориентируется на Node.js 22 LTS (22.16+) или Node 24 как среду шлюза на Mac. Ставьте через Homebrew, nvm или официальный установщик и закрепите глобальный пакет за каналом, который стандартизировала команда:

npm install -g openclaw@latest
# или пин: npm install -g [email protected]

Не смешивайте pre-release сборку приложения со старой глобальной CLI: экран onboarding читает рукопожатие шлюза и отклоняет несовместимые пары semver. После установки проверьте which openclaw на общих машинах. В арендованных средах зафиксируйте, Node у пользователя через nvm или системный, чтобы задачи launchd и cron видели ту же среду.

Добавьте в вики «золотую» версию Node и небольшой pre-flight перед первым openclaw onboard, чтобы реже получать тикеты, где подрядчик случайно на Node 20 и ловит проблемы ABI с нативными модулями.

Локальный и удалённый шлюз

Режим	Лучше для	Компромисс
Локальный шлюз на Mac	Соло-разработка, автоматизация браузера, минимальная задержка	Нужны демон и TCC на этой машине
Удалённый шлюз (SSH/Tailnet)	Центральные операции, общий GPU или хранилище ключей	Сложность сети и аутентификации
Отложить настройку	Оценка железа	Без шлюза агенты не выполняют реальные инструменты

Фронтенд-команды часто выбирают локальный шлюз на облачном Mac mini, чтобы WebKit-автоматизация и доступ к файлам шли в одной ОС. Платформенные команды направляют ноутбуки на удалённый шлюз, а фрилансеры поднимают SSH-туннели; задокументируйте URL, разрешённые origin и TLS. Перед выходом в интернет читайте обратный прокси, туннель и укрепление.

Продумайте запасной путь: при падении удалённого шлюза разработчик должен за минуты поднять локальный без перераздачи секретов. Раздельные профили в ~/.openclaw и описанные переменные окружения согласуются со статьёй про JSON и профили.

Мастер onboarding и авторизация провайдера

openclaw onboard запускает интерактив: место шлюза, ключи провайдера моделей или OAuth где поддерживается, профиль tools.profile по умолчанию вроде coding, чтобы файловые и shell-инструменты оставались включены. Свежие установки 2026 склоняются к более безопасным умолчанию; профиль можно ужесточить позже.

Приложение может открыть гид-чат — относитесь к нему как к живой документации. Сохраняйте скриншоты шагов для папки SOC: аудиторы всё чаще требуют доказательств, что секреты не проходили через Slack или почту. Сверьте переменные окружения с нашим чеклистом обновления и миграции, чтобы апдейты не оставляли токены сиротами.

Для команд с раздельными staging- и production-шлюзами на первом проходе используйте только staging-учётки и откройте production после успешного smoke-теста, чтобы эксперимент не сжигал прод-квоты.

Демон LaunchAgent и занятость порта

Фон опирается на macOS launchd. Флаг openclaw onboard --install-daemon создаёт ~/Library/LaunchAgents/ai.openclaw.gateway.plist с путями StandardOut/Err, которые на загруженных серверах стоит ротировать ежемесячно. Если другой процесс уже слушает настроенный порт, onboarding выглядит успешным, а проверки здоровья падают — запустите openclaw doctor и ищите EADDRINUSE в логах.

Закрытие OpenClaw.app не обязательно гасит шлюз при загруженном демоне — так задумано для безголовых серверов. Используйте документированную unload-команду или шаблон launchctl bootout gui/$UID/ai.openclaw.gateway для холодного старта. После обновления macOS снова запустите doctor: TCC иногда сбрасывает разрешения для сдвинутых бинарников.

Храните plist в Git как шаблон без секретов, а не как живую копию с токенами, чтобы ревьюить диффы при устаревании ключей LaunchAgent в новых версиях ОС.

Разрешения TCC, блокирующие автоматизацию

macOS запросит универсальный доступ, автоматизацию (AppleEvents), уведомления и иногда запись экрана, когда агенты управляют локальными приложениями или показывают UI. Подтверждайте только на доверенных машинах; на общих облачных Mac заводите отдельного пользователя на подрядчика, чтобы отзыв был удалением учётки, а не полным сбросом.

Если диалоги не появляются, откройте Системные настройки → Конфиденциальность и безопасность и вручную добавьте путь к бинарнику OpenClaw из тоста об ошибке. Удалённые сессии иногда глушат модалки; переподключитесь по VNC с графическим столом, чтобы первый раз нажать «Разрешить».

Корпоративные флоты могут выкатывать профили с предодобренными Team ID; большинство арендаторов MacHTML работают с обычным пользовательским подтверждением. Фиксируйте каждое TCC-разрешение в тикете изменений для быстрых security-review.

Согласование версий приложения и CLI, doctor

Три проверки стоит внести в runbook:

1. openclaw --version совпадает со строкой «совместимость шлюза» в macOS-приложении в пределах одной минорной ветки.
2. openclaw doctor зелёный по каналам, путям и опциональным пакетам драйвера браузера.
3. Diff конфигурации: после onboarding ~/.openclaw/openclaw.json должен отражать порт, который вы отдаёте за reverse-proxy — до WAN читайте гид по укреплению.

Если doctor показывает HTTP 401 от API модели, крутите ключи в .env, а не в JSON, который могут видеть в демонстрации экрана. CLI 2026 яснее отделяет «плохой токен» от «заблокированный egress», чем старые общие ошибки fetch.

Запланируйте 15-минутный smoke после onboarding: один безопасный вызов инструмента, одно чтение файла в каталоге проекта и один намеренный сбой (неверный путь), чтобы проверить формат ошибок. Пропуск этого шага часто всплывает в субботу из-за allowedPaths. Сохраняйте вывод doctor текстом в wiki.

Держите заметку об откате: предыдущий вывод npm list -g openclaw и tarball ~/.openclaw; при ломающих дефолтах откат займёт около трёх минут на быстрой сети.

Подробную диагностику см. OpenClaw doctor и диагностику шлюза.

Эксплуатация, логи и эскалация

Настройте ротацию логов LaunchAgent или стрим в SIEM, если это требует комплаенс. Ранние предупреждения об истечении токенов спасают демо от внезапной остановки. Для круглосуточного режима на аренде опишите уровни эскалации: уровень 1 — doctor и порты, уровень 2 — прокси, уровень 3 — ротация секретов.

Зафиксируйте, какие учётки могут подтверждать TCC, чтобы дежурства не упирались в отсутствие GUI. Постоянные VNC-пароли удобны, но рискованны; предпочитайте краткоживущие доступы с обоснованием.

Зачем проходить onboarding на выделенном облачном Mac

Onboarding на одноразовом ноутбуке работает, пока кто-то не увезёт машину вместе со шлюзом. Mac mini в ЦОД даёт стабильное питание, опционально статический исходящий IP и производительность Apple Silicon для LLM-соседних инструментов без вентилятора под столом. MacHTML сдаёт физические Mac mini с SSH/VNC: один раз установили OpenClaw, оставили демон, выдали VNC подрядчикам для TCC, а политику root держите централизованно.

Энергоэффективность Apple Silicon важна для шлюзов 24/7: низкий простой, всплески на сборку инструментов или браузерную автоматизацию. По сравнению с эмулированными macOS-VM bare-metal Mac mini избегает тонких багов таймеров и syscall с launchd. Проект закончился — уменьшите инстанс вместо перепродажи железа.

FAQ

Почему macOS-приложение жалуется на несовпадение версии шлюза?

Приложение сравнивает работающий шлюз со встроенной версией. Обновите глобальную openclaw CLI до ожидаемой semver, перезапустите launchd и снова выполните doctor.

Останавливает ли выход из OpenClaw шлюз?

В локальном режиме демона launchd оставляет шлюз после закрытия приложения. Используйте launchctl bootout или документированную команду остановки для холодного перезапуска.

Где хранить API-ключи после onboarding?

В ~/.openclaw/.env с жёсткими правами, не в Git; см. статью про openclaw.json и профили для dev/prod.

Надёжный onboarding OpenClaw — это в первую очередь дисциплина: правильная версия Node, явная установка демона, TCC в графической сессии и зафиксированная CLI. Делать это на арендованном Mac mini с Apple Silicon посуточно сохраняет нативный macOS, убирает ваш ноутбук с критического пути и сочетается с SSH-автоматизацией для диагностики через doctor, когда шлюз ведёт себя странно. MacHTML фокусируется на bare-metal доступе к облачному Mac: подняли, onboardили OpenClaw, проверили, сняли — без закупки новых рабочих станций.