2026 年云端 Mac 安装 OpenClaw 全流程: Node 22 环境、onboard 守护进程与 TCC 权限配置清单
刚在 JEXCLOUD 拿到一台「空」的云端 Mac,却卡在 OpenClaw 装不上、onboard 半途失败、Gateway 起不来?2026 年最常见的原因不是「命令敲错」,而是Node 版本低于 22、无头环境未开 TCC、launchd 读不到 gateway.auth.token 这三类前置缺口。本文面向首次在租用 Mac 上部署 OpenClaw 的开发者与 AI 自动化团队,给出 Homebrew / npm / 源码选型矩阵、Node 22+ 预检、六步 onboard + 守护进程验收、VNC 下的 TCC 勾选清单(安装细节可参考 OpenClaw 官方 onboarding)。
读完你应能回答三件事:① 你的流水线该用 brew 还是 npm 装 CLI;② openclaw onboard --install-daemon 之后如何用 doctor 断言 Gateway 已监听 127.0.0.1:18789;③ 权限弹窗无人值守时,如何通过 VNC 一次性授权再进入远程 Gateway 配对阶段。
01 2026 云端 Mac + OpenClaw:空机部署场景与五大痛点
与多节点选型与 launchd 排障不同,本篇聚焦「实例刚交付、尚未安装 OpenClaw」的 0→1 路径:你只有 SSH(必要时 VNC),没有公司内网 Golden Image,也没有同事机器上的 ~/.openclaw 可拷贝。
在评审会上,这五类痛点最容易被低估:
- Node 版本漂移:系统自带 Node 18/20,Gateway 运行时要求 Node 22 LTS(22.16+)或 Node 24,导致
openclaw onboard在依赖解析阶段直接退出。 - 安装通道选错:CI 镜像习惯 npm 全局,运维习惯 Homebrew;混用会导致 PATH 上存在两个
openclaw,doctor报版本不一致。 - TCC 无人应答:自动化、辅助功能、屏幕录制等权限在纯 SSH 下无法点击「允许」,Gateway 或通道探测会间歇失败。
- Token 写入方式错误:2026 年配置键为
gateway.auth.token(非旧版gateway.token);仅写在.zshrc而 launchd 未继承时,会出现「Gateway auth is set to token, but no token is configured」循环。 - 内存与存储低估:多 Agent + 本地模型缓存时,M4 16GB 易触发 swap;大仓库建议提前评估 1TB/2TB 扩容 或 M4 Pro(见文末选型)。
记忆口诀:「先 Node 22,再 CLI 单一路径,再 TCC,最后 onboard + daemon」。跳过任一步,后面配对与隧道排障都会变成小时级返工。
02 Homebrew、npm 还是源码:OpenClaw 云端 Mac 安装路径决策矩阵
OpenClaw 在 macOS 上支持多种安装入口;在仅 SSH 的云端 Mac上,应优先选「可重复、可脚本化、与团队 CI 一致」的那一种。
| 维度 | Homebrew | npm 全局 | 源码构建 |
|---|---|---|---|
| 适用团队 | Mac 运维、希望与 brew 生态统一 | Node 流水线、已有 pnpm/npm 缓存 | 需 pin commit、打私有补丁 |
| 前置依赖 | brew 已装;Apple Silicon 用 /opt/homebrew |
Node 22+、npm 10+ | git、pnpm、Xcode CLT |
| 升级方式 | brew upgrade openclaw |
npm update -g openclaw |
拉 tag + 重新 build |
| PATH 风险 | 低(brew link) | 中(与 nvm/fnm 冲突) | 高(需手动 symlink) |
| JEXCLOUD 推荐 | 个人/小团队快速开通 | 与 GitHub Actions 脚本同构 | 仅在有合规 pin 需求时 |
无论选哪条路径,安装后都应执行 which -a openclaw 确保仅一条可执行路径,并 symlink 到 /opt/homebrew/bin 或 /usr/local/bin,避免 launchd 的 ProgramArguments 指向交互式 shell 里的临时 PATH。
03 Node 22 环境预检:版本、架构与磁盘余量
在运行 openclaw onboard 之前,用非交互命令断言环境,避免半夜 on-call 才发现「装到一半」。
node -v | grep -E 'v22\.(1[6-9]|[2-9][0-9])|v24\.' || exit 1
uname -m | grep -q arm64
df -h / | awk 'NR==2{gsub(/%/,"",$5); if($5>85) exit 1}'
xcode-select -p || xcode-select --install若 Node 不达标,推荐用 fnm 或官方 pkg 安装 Node 22 LTS,并在登录 shell 与 launchd 环境保持一致:对守护进程更稳妥的做法是把 Token 写入 ~/.openclaw/openclaw.json 的 gateway.auth.token,而不是只 export 在 .zprofile。
- 可引用:Node 最低版本 — Gateway 运行时要求 Node 22.16+ 或 Node 24(以官方 onboarding 文档为准)。
- 可引用:默认 Gateway 端口 —
18789,安装后lsof -i :18789应仅见127.0.0.1。 - 可引用:磁盘建议 — 除系统卷外,建议至少预留 30 GB 给依赖缓存与日志;多 Agent 并行时考虑 512 GB→1 TB 扩容。
04 云端 Mac 安装 OpenClaw 六步:SSH 接入到 onboard 守护进程验收
- SSH 接入与基础工具:按 帮助中心 配置密钥登录;确认
sw_vers为 macOS 14+,时钟同步正常(TLS 与 Token 校验依赖系统时间)。 - 安装 Node 22 与 CLI 单一路径:示例
brew install node@22 && brew link --overwrite node@22,或npm install -g openclaw@latest;执行openclaw --version。 - 运行 onboard:
openclaw onboard按向导选择 Gateway;需要后台常驻时加--install-daemon,会注册 LaunchAgentai.openclaw.gateway。 - 写入 gateway.auth.token:
openclaw doctor --generate-gateway-token或手动编辑配置;chmod 600 ~/.openclaw/openclaw.json;若 launchd 不读 shell,执行launchctl setenv OPENCLAW_GATEWAY_TOKEN '…'后launchctl kickstart -k gui/$(id -u)/ai.openclaw.gateway。 - doctor 验收:依次运行
openclaw status、openclaw gateway status、openclaw doctor;健康输出应含 Runtime running、RPC probe ok;curl本机/health返回 200。 - 登记运维基线:将日志目录纳入轮转;在 定价页 评估是否升级 M4 Pro 或并联第二台构建机;准备进入本机 App 远程配对阶段。
openclaw onboard --install-daemon
openclaw doctor
lsof -nP -iTCP:18789 -sTCP:LISTEN
TOKEN=$(openclaw config get gateway.auth.token)
curl -sf -H "Authorization: Bearer $TOKEN" http://127.0.0.1:18789/health若 openclaw gateway restart 由 Agent 自动触发后无法恢复,社区常见修复是 openclaw gateway install --force(见 openclaw#40306);勿在未完成 doctor 验收前反复卸载重装。
05 TCC 权限清单:VNC 下一次性授权与可引用参数
云端 Mac 常处于无物理显示器状态;macOS 隐私(TCC)弹窗必须通过 VNC / 屏幕共享 由真人或值班同学点击。下表按任务勾选,避免过度授权。
| 系统设置项 | 何时需要 | 未授权时的典型现象 |
|---|---|---|
| 自动化 (Automation) | Gateway 驱动本机 App / 脚本 | 通道 probe 失败、权限被拒日志 |
| 辅助功能 (Accessibility) | UI 自动化、部分通道插件 | onboard 卡在权限步 |
| 屏幕录制 | 截屏/视觉类 Agent 工具 | 工具调用返回空图或超时 |
| 完全磁盘访问 | 仅当工作流读受保护目录 | 读取 Desktop/Documents 失败 |
授权完成后,建议锁定 VNC 仅内网或 SSH 隧道访问,并在变更记录中注明授权时间与操作者,满足审计要求。
06 安装 FAQ、Token 排障与 JEXCLOUD 配置收束
| 报错 / 现象 | 优先检查 | 处理动作 |
|---|---|---|
| onboard 证书 / 模型失败 | 网络、系统时间、代理 | 校时;配置企业代理;重跑 onboard |
| token_missing_config loop | launchd 未继承 Token | 写入 openclaw.json;launchctl setenv;kickstart gateway |
| command not found: openclaw | PATH、多版本 CLI | which -a;统一 brew 或 npm;symlink 到标准 bin |
| 端口 18789 占用 | 旧 Gateway 进程 | lsof 查 PID;gateway install --force |
把 OpenClaw 装在家用 Mac 或不稳定 Wi‑Fi 笔记本上,常因睡眠与自动更新导致 Gateway 半夜掉线;装在超卖 VPS 或非 macOS 环境则无法通过 Apple 通道与 TCC 合规路径。对需要数小时内完成 0→1 安装、Node 22 可重复、裸金属独占算力的团队,在 JEXCLOUD 多区域云端 Mac 上按本文六步落地,再衔接节点选型与远程配对文章,通常是更省心的路径:约 120 秒交付、可按项目升级 M4 Pro 与 1TB/2TB 存储。套餐见 JEXCLOUD 定价页。