Onboarding(macOS 应用)
本文档描述的是当前版本的首次运行 onboarding 流程。目标是让「第 0 天」的体验尽可能顺畅:选择 Gateway 运行位置、连接认证、运行向导,然后让 Agent 自行完成引导初始化。 通用 onboarding 路径概览请参阅 Onboarding 概览。
第 1 步:处理 macOS 安全提示
第 2 步:允许发现本地网络
第 3 步:欢迎页面与安全须知
安全信任模型:
- 默认情况下,OpenClaw 是个人专属 Agent:只有一个受信任的操作者边界。
- 共享或多用户场景需要加固配置(拆分信任边界、最小化工具访问权限,并遵循 安全 指南)。
- 本地 onboarding 现在会将新配置默认设为
tools.profile: "coding",这样新安装的本地环境会保留文件系统和运行时工具,同时不会强制启用不受限的full配置。 - 如果启用了 hooks/webhooks 或其他不受信任的内容源,请使用最新一代的强模型,并保持严格的工具策略和沙箱设置。
第 4 步:选择本地或远程
Gateway 运行在哪里?
- 本机(仅本地): onboarding 会在本地配置认证并写入凭据。
- 远程(通过 SSH/Tailnet): onboarding 不会在本地配置认证;凭据必须已存在于 Gateway 主机上。
- 稍后配置: 跳过设置,应用保持未配置状态。
提示: Gateway 认证小贴士:
- 即使是回环地址,向导现在也会生成一个 token,因此本地 WS 客户端必须通过认证。
- 如果你禁用认证,任何本地进程都能连接——仅在完全可信的机器上这样做。
- 多机访问或非回环绑定时,请使用 token。
第 5 步:权限
Onboarding 会请求以下 TCC 权限:
- 自动化(AppleScript)
- 通知
- 辅助功能
- 屏幕录制
- 麦克风
- 语音识别
- 摄像头
- 定位
第 6 步:CLI
提示: 这一步是可选的 应用可以通过 npm/pnpm 安装全局的
openclawCLI,这样终端工作流和 launchd 任务就能直接使用了。
第 7 步:Onboarding 对话(专属会话)
设置完成后,应用会打开一个专属的 onboarding 聊天会话,Agent 会在其中做自我介绍并引导后续操作。这样可以把首次引导与你的日常对话分开。Agent 在 Gateway 主机上首次运行时的具体行为请参阅 引导初始化。