Onboarding(macOS App)
這份文件描述目前的首次執行 onboarding 流程。目標是順暢的「第零天」體驗:選擇 Gateway 執行位置、連接驗證、執行精靈,然後讓 agent 自行完成初始化。 整體 onboarding 路徑概覽請參考 Onboarding 概覽。
步驟一:核准 macOS 警告
步驟二:核准本地網路存取
步驟三:歡迎畫面與安全注意事項
安全信任模型:
- OpenClaw 預設為個人 agent:單一受信任的操作者邊界。
- 共享或多使用者設定需要加強防護(分離信任邊界、將工具存取權限制到最低,並遵循 安全性)。
- 本地 onboarding 現在預設將新設定檔設為
tools.profile: "coding",讓新的本地安裝能保留檔案系統和執行環境工具,而不需要使用不受限的full設定。 - 如果啟用了 hooks/webhooks 或其他不受信任的內容來源,請使用最新的強力模型層級,並維持嚴格的工具政策和沙箱設定。
步驟四:本地 vs 遠端
Gateway 在哪裡執行?
- 這台 Mac(僅限本地): onboarding 可以在本地設定驗證並寫入憑證。
- 遠端(透過 SSH/Tailnet): onboarding 不會設定本地驗證;憑證必須存在於 gateway 主機上。
- 稍後設定: 跳過設定,app 維持未設定狀態。
提示: Gateway 驗證小技巧:
- 精靈現在即使是 loopback 也會產生 token,所以本地 WS 客戶端也需要驗證。
- 如果停用驗證,任何本地行程都能連線;只在完全受信任的機器上這麼做。
- 多機器存取或非 loopback 綁定時使用 token。
步驟五:權限
Onboarding 會請求以下 TCC 權限:
- 自動化(AppleScript)
- 通知
- 輔助使用
- 螢幕錄製
- 麥克風
- 語音辨識
- 相機
- 位置
步驟六:CLI
Info: 這個步驟是選用的 App 可以透過 npm/pnpm 安裝全域的
openclawCLI,讓終端機流程和 launchd 任務直接可用。
步驟七:Onboarding 對話(專用 session)
設定完成後,app 會開啟一個專用的 onboarding 對話 session,讓 agent 自我介紹並引導後續步驟。這會將首次執行的引導與你的正常對話分開。agent 首次執行時在 gateway 主機上發生的事情請參考 初始化引導。