Самые болезненные сбои OpenClaw случаются после того, как туториал отработал в вашем Terminal: LaunchAgent стартует при загрузке, наследует скелетный PATH, не находит node, и шлюз тихо перезапускается, пока потребители API не увидят дрожащие цепочки 502. В 2026 году относитесь к macOS launchd как к отдельной среде по сравнению с zsh: он не читает ваши .zprofile, не знает про nvm без явной проводки и охотно запускает бинарники с неверным динамическим линкером при небрежных symlink. Этот гайд показывает, как зафиксировать toolchain, зашить переменные окружения в plist и прогнать smoke на арендованном Mac mini до продакшн-трафика.
Свяжите материал с диагностикой шлюза openclaw doctor для глубокого triage, JSON-профилями окружения для слоёв секретов и общим облачным Mac mini и изоляцией, когда несколько инженеров делят одно место шлюза.
Почему launchd ломает интерактивные предположения
Интерактивные shell загружают rc, direnv и интеграции IDE. Задачи launchd наследуют курируемое окружение из схемы plist Apple — всё остальное не определено. Поэтому which node в tmux показывает /opt/homebrew/bin/node, а логи LaunchAgent того же пользователя ругаются node: command not found. Это не случайность, а два разных графа старта.
Ещё один капкан — HOME: у автоматизированных учёток home может отличаться, если образ провайдера клонировали. OpenClaw пишет состояние в ~/.openclaw или $OPENCLAW_HOME; при дрейфе HOME конфиги оказываются «невидимыми» в инцидентах. Задавайте HOME явно для клонированных образов.
Часто отсутствуют LANG и TZ, что влияет на таймстемпы логов и иногда на TLS. Материализуйте их, если JSON-профили зависят от локали или часового пояса.
Дополнительно проверьте, что LaunchAgent действительно запускается в GUI-сессии пользователя, если шлюз ожидает доступ к связке ключей или сокетам в /var/folders: домен gui/$UID и bootstrap должны совпадать с тем, что вы документировали в runbook.
Если вы используете отдельного технического пользователя, убедитесь, что права на лог-файлы и рабочие каталоги согласованы с политикой компании: разделение ролей админа и рантайма часто ломает предположения о том, кто владеет ~/Library/LaunchAgents.
Node Homebrew против nvm против закреплённых tarball
Homebrew ставит стабильные пути под /opt/homebrew на Apple Silicon и обновляет symlink — удобно для LaunchAgents, потому что ProgramArguments может ссылаться на /opt/homebrew/bin/node напрямую. nvm удобен людям, но хрупок для демонов: переключение версий зависит от shell-функций, а не от файлов, которые ждёт launchd. Если nvm необходим, сделайте wrapper-скрипт с фиксированным NODE_HOME и вызывайте его из plist — никогда не вставляйте source /.nvm/nvm.sh && nvm use в ProgramArguments без login-shell.
Закреплённые tarball с nodejs.org популярны в регулируемых средах: проверьте контрольную сумму, распакуйте в /usr/local/node-20.11.1, укажите plist на этот бинарь. Апгрейды становятся осознанной заменой файлов, а не автоматическим brew relocation. Заложите 30 минут в квартал на repin и повторный smoke; пропуск ведёт к тихому дрейфу после security-патчей.
Volta, asdf и fnm требуют явных обёрток, если launchd не грузит ваш hook-шелл. Зафиксируйте стратегию в онбординге, чтобы новый разработчик не сделал «просто nvm install» и не положил прод.
Если вы смешиваете Intel и Apple Silicon в парке, никогда не копируйте plist между архитектурами без перепроверки путей к динамическим библиотекам и Rosetta-зависимостей.
Для air-gapped окружений заранее прогоняйте установку tarball на изолированном Mac mini, фиксируйте checksum в репозитории и связывайте его с конкретной версией OpenClaw в матрице совместимости.
LaunchEnvironmentVariables и WorkingDirectory
Используйте WorkingDirectory, чтобы относительные пути в конфигах OpenClaw разрешались предсказуемо — укажите каталог с openclaw.json или одобренным корнем. Добавьте LaunchEnvironmentVariables для PATH, при необходимости NODE_OPTIONS (если политика безопасности позволяет) и SDK-путей. Держите список короче двенадцати ключей, чтобы аудит оставался читаемым.
StandardErrorPath и StandardOutPath должны писать в ротируемые сервисные логи; Console.app дружелюбен, но плохо grep-ается в CI. 50 МБ на файл и пять поколений — разумный дефолт до централизованного логирования.
Настройте ThrottleInterval и осмысленный KeepAlive, чтобы циклы падений не съедали CPU. Документируйте коды выхода, которые OpenClaw использует намеренно, чтобы дежурные отличали «здоровый рестарт» от «звонить всем».
Если шлюз слушает порт ниже 1024, убедитесь, что capability-модель и plist согласованы с политикой безопасности; иначе launchd будет молча рестартовать job.
Для контейнеризированных sidecar-ов на той же машине явно задайте TMPDIR, чтобы Unix-сокеты не пересекались между пользователями при shared mini.
Матрица выбора toolchain
| Подход | Дружба с демоном | Трение апгрейда | Когда лучше всего |
|---|---|---|---|
| Node Homebrew | Высокая | Средняя — дрейф путей | Небольшие команды, один шлюз на хост |
| nvm default alias | Низкая без wrapper | Низкая для людей | Только ноутбуки, не LaunchAgents |
| Закреплённый tarball | Очень высокая | Высокая — ручной unpack | Сильный compliance |
Пятиминутный smoke-протокол
- Выполните
launchctl print gui/$UID/com.yourorg.openclaw.gatewayи убедитесь, что последняя причина выхода — ноль. - Дважды дерните health через
curl -fsSс паузой 10 секунд, чтобы поймать ленивые TLS-перезагрузки. - Сделайте безопасный tool-call, который запускает
/usr/bin/trueдочерним процессом и проверяет PATH для детей. - Один раз ротируйте логи и убедитесь, что append после truncate разрешён.
- Сделайте
launchctl bootout, снова поднимите job и проверьте, что шлюз биндит тот же порт за 30 секунд.
Автоматизируйте последовательность shell-скриптом в инфра-репозитории; люди забывают шаг четыре до заполнения диска накануне демо.
Расширьте сценарий WebSocket-пингами и синтетическим инструментом с сетевым egress, если за прокси — облачные хосты маршрутизируют IPv6 иначе, чем локальный Docker.
Добавьте проверку, что после ребута plist действительно загружается в нужном домене (gui vs user), иначе smoke будет зелёным до первой перезагрузки.
Проверки doctor против дрейфа PATH
openclaw doctor показывает расхождение версий, отсутствующие бинарники и подозрительно пустые поля окружения. Запускайте из того же аккаунта, что владеет LaunchAgent — интерактивно и через sudo -u, если роли разделены. Если интерактивно Node 20.11, а plist-логи показывают 18.19, у вас всё ещё борются две цепочки.
Когда doctor жалуется на TLS store, чините доверие Keychain раньше, чем OpenClaw — минорные обновления macOS иногда двигают промежуточные сертификаты, и шлюз падает с обманчивым «upstream 403».
Сочетайте doctor со структурированными JSON-логами, архивируя снимок PATH на каждый старт процесса — это ускоряет постмортемы после Node Patch Tuesday.
Запускайте doctor после каждого изменения глобальных npm-пакетов: symlink-и в /opt/homebrew/lib/node_modules могут сдвинуться незаметно для людей, но заметно для демона.
Права файлов и сюрпризы umask
LaunchAgents наследуют umask пользователя, который часто не совпадает с предположенным 0022 после интерактивного chmod. Если OpenClaw пишет unix-сокеты или pid-файлы в общий каталог, явно проверьте групповое чтение. На общих mini выровняйте POSIX-группу, аккуратно применяйте ACL и документируйте world-readable каталоги — security-ревью спросит.
Следите за атрибутом карантина Gatekeeper com.apple.quarantine на скачанных бинарниках: до одобрения это выглядит как ошибка PATH в тонких логах. Снимайте карантин осознанно после проверки суммы, а не массовым xattr -d.
Проверьте SIP/TCC для вспомогательных утилит, которые инструменты OpenClaw порождают — sandbox-профили Terminal и launchd отличаются.
Если несколько сервисов пишут в один каталог логов, заранее договоритесь о префиксах имён файлов и ротации, чтобы logrotate не удалил чужие артефакты во время smoke.
Окна обновления без сиротских plist
Синхронизируйте апгрейды Node с релизами OpenClaw: сначала runtime в staging, затем smoke, затем прод в окне обслуживания с письменным rollback, включая предыдущую stanza ProgramArguments. Храните минимум две генерации plist в Git с датами.
Пути npm -g различаются между Intel и Apple Silicon home. Не копируйте plist с Intel-мака без ревью абсолютных путей.
Сообщайте потребителям API, если health намеренно краснеет в окне — прозрачность снижает ложные эскалации.
После апгрейда macOS перезапускайте doctor и smoke даже если версия Node не менялась: обновления иногда меняют политику исполнения скриптов и подписей.
FAQ
Почему OpenClaw работает в Terminal, но падает в LaunchAgent?
Потому что Terminal грузит ваши shell startup-файлы, а launchd — нет. PATH и toolchain должны быть явными в plist или wrapper.
Нужно ли вызывать nvm use внутри plist?
Избегайте. Используйте абсолютные бинарники или wrapper с фиксированным NODE_HOME без интерактивного source.
Как долго должны длиться smoke первого запуска?
Как минимум пять минут ровной нагрузки плюс цикл перезапуска для ленивых импортов и диалогов разрешений.
Где всё ещё появляются запросы TCC?
Функции с камерой, микрофоном, контактами или AppleScript часто требуют GUI-одобрения — репетируйте на машине с VNC.
Стабильность первого запуска формируется железом: нужны те же Apple Silicon, та же связка ключей и та же тихая кривая вентилятора, что в проде. Аренда Mac mini у MacHTML примерно за 16,9 $ в сутки даёт эталон без закупочной волокиты. SSH для правок plist, VNC когда TCC требует клик, выключение после smoke — эластичность важнее ноутбука разработчика, который ночью засыпает и рвёт websocket-сессии.
Эффективность Apple Silicon важна, когда doctor и синтетика крутятся часами: машина остаётся прохладной, потребление предсказуемым, и вы не моделируете macOS из Linux-контейнера с ложной семантикой блокировок файлов.
Репетировать LaunchAgents OpenClaw на настоящем macOS
Арендуйте облачный Mac mini, чтобы проверить PATH, bootstrap plist и smoke под управлением doctor на Apple Silicon до продакшн-катовера.