<p>之前用 Docker 装 OpenClaw，最大的问题不是“能不能跑”，而是“权限不够用 + 排错不爽”。再加上 1Panel 更新后要先填 API（我这边没配好），索性直接宿主机直装（Debian / root），省事很多。</p><p>先说一句：这篇不是官方文档，我就是把我自己装的时候从头到尾走的流程写清楚，顺便解释下每一步“它在干嘛、为啥这么选”。</p><p>官网在这：https://openclaw.ai/</p><figure class="kg-card kg-image-card"><img src="https://tbbbk.com/content/images/2026/01/openclaw-------2.png" class="kg-image" alt="" loading="lazy" width="832" height="235" srcset="https://tbbbk.com/content/images/size/w600/2026/01/openclaw-------2.png 600w, https://tbbbk.com/content/images/2026/01/openclaw-------2.png 832w" sizes="(min-width: 720px) 720px"></figure><p>进去之后默认给的是 PowerShell 命令，我是 Debian，所以点一下 change 切到 Linux/macOS。</p><p>我不黑 Docker，Docker 很多场景真香。但 OpenClaw 这种“可能要读文件/跑动作/接工具”的东西，Docker 的隔离在某些时候会变成麻烦。</p><p>我自己的感受大概是：</p><ul><li>Docker：优点是干净、可回滚；缺点是权限/挂载/网络/系统服务这些细节一多，就开始反复横跳。</li><li>宿主机：优点是想干啥就干啥（尤其是排错），systemd 常驻也顺；缺点是你得自己把安全边界想清楚。</li></ul><p>所以我最后选宿主机，原因很朴素：我就是想它先稳定跑起来。</p><ul><li>系统：Debian（Ubuntu 也一样）</li><li>权限：root 直接装（单人 VPS，懒得建用户）</li><li>渠道：Telegram</li><li>默认网关：（只监听本机）</li></ul><p>如果你是多用户机器/公司机，强烈建议单独建用户 + 做最小权限。</p><p>官网给你一行安装命令，直接在 VPS 里贴过去跑。</p><p><strong>为啥宿主机？</strong><br>权限够用、服务好管、出问题也好排查，不用和 Docker 权限打架。</p><p>安装一开始会吐一大段安全提示（你看末尾日志就知道有多长）。核心意思就是：</p><ul><li>这是 beta 项目</li><li>bot 有读文件/执行动作的能力</li><li>配置不当会有风险</li></ul><p>我看完就点 Yes 继续。老话再提：<strong>先备份</strong>。</p><p>QuickStart 默认是：</p><ul><li>端口：</li><li>绑定：</li><li>认证：Token</li></ul><p>我全部默认。</p><blockquote>这也解释了很多人遇到的第一个问题：“为啥我在外网打不开控制面板？”</blockquote><p>它会给你一个 URL，提示你：</p><ul><li>在 <strong>本地浏览器</strong>打开</li><li>登录后复制回调链接</li><li>粘贴回终端</li></ul><p>远程 VPS 没浏览器，这步很正常。</p><p>我选的是 Telegram，因为最省事也最稳：</p><ul><li>找 @BotFather</li><li></li><li>拿到 token</li><li>粘贴进终端</li></ul><p>小建议：token 别到处乱贴，尤其别贴到公开博客里（你看我这里已经打码了）。</p><p>安装会提示 pnpm / brew / go，我当时没装，所以报错了，但 <strong>不影响主程序跑起来</strong>。</p><p>后面需要再补的话，先跑：</p><pre></pre><p>它会告诉你缺啥。</p><p>如果你就想把 pnpm 补上（Debian/Ubuntu 最短路径），大概是：</p><pre></pre><p>安装会启用 systemd user service，并开启 lingering（日志里能看到）。</p><p>简单理解：不然你 SSH 一断，服务就跟着断。</p><p>你可以用这几条确认一下：</p><pre></pre><p>安装完成后会给你：</p><ul><li>本地面板地址 </li><li>带 token 的访问链接（我已打码）</li></ul><p>因为它只绑定 127.0.0.1，你想从自己电脑打开，最简单就是 SSH 隧道：</p><p>ssh -L 18789:127.0.0.1:18789 root@你的服务器IP</p><p>然后本地浏览器访问：。</p><p>日志里有一句：</p><blockquote>Missing Control UI assets. Build them with </blockquote><p>意思是 UI 资源没构建。你把 pnpm 装好以后，按提示跑一下 就行。</p><p>最后会提示：</p><pre></pre><p>进去慢慢配，别一上来就全开工具权限（尤其你还准备把它暴露到公网的话）。</p><ol><li>确认服务真的常驻</li><li>别把 18789 直接暴露到公网</li></ol><p>你真要公网访问，建议走反代 + 访问控制；不然就是“我把控制面板开在公网，等人来敲门”。</p><ol start="3"><li>把日志里的敏感信息处理一下</li></ol><ul><li>Telegram bot token</li><li>OAuth 回调里带的 code</li><li>Control UI 的 token 链接</li></ul><p>这些东西泄露了，后果一般都不太好玩。</p><p><strong>Q1：OpenClaw 能不能用 Docker 装？</strong><br>能。只是如果你后续要让它读写宿主机文件、跑工具、接各种依赖，Docker 会更容易遇到“权限不够/挂载麻烦/排错麻烦”。我这次才改回宿主机。</p><p><strong>Q2：Control UI 为啥外网打不开？</strong><br>因为默认只绑定 。用 SSH 隧道，或者自己做反代（别裸奔公网）。</p><p><strong>Q3：安装时提示 怎么办？</strong><br>就是没装 pnpm。装 node/npm，然后 。</p><p><strong>Q4：提示 ？</strong><br>装好 pnpm 后跑 。</p><p><strong>Q5：我怎么确认 systemd 常驻没问题？</strong><br>看 ，再看 。</p><p>下面是我当时的完整命令行输出（原样保留，包含全过程）。敏感信息已打码。</p> 

讯享网