OpenClaw 远程一键部署
在远程 Linux 服务器上自动部署 OpenClaw + AI 模型 + 聊天频道。
第零步:输出傻瓜教程
skill 启动后,必须先输出以下准备清单,让用户知道需要什么,然后再用 AskUserQuestion 收集信息:
# OpenClaw 一键部署
欢迎!部署前你需要准备以下东西:
| 序号 | 准备什么 | 说明 | 必需? |
|------|----------|------|--------|
| 1 | 一台 Linux 服务器 | 最低 1GB 内存 + 500MB 磁盘,支持 SSH 登录 | 必需 |
| 2 | SSH 免密登录 | 确保本机能 `ssh user@host` 直接连上 | 必需 |
| 3 | AI 模型 API Key | 智谱GLM / DeepSeek / OpenAI / Claude / Kimi / 通义 任选 | 必需 |
| 4 | 聊天频道 Bot Token | Telegram(@BotFather) 或 Discord 或 飞书,也可以暂不配 | 可选 |
| 5 | 代理地址 | 中国大陆服务器 + 海外频道(Telegram/Discord)时需要 | 视情况 |
| 6 | 浏览器控制 | 让 Bot 能操控浏览器搜索/截图/填表,需额外安装 Playwright | 可选 |
第一步:收集信息
用 AskUserQuestion 收集($ARGUMENTS 已提供的跳过)。分两轮问:
第一轮(必填 3 项):
用 AskUserQuestion 同时问以下 3 个问题:
- SSH 连接信息(header: "SSH 连接")
- 选项根据上下文动态生成(如之前用过的服务器),兜底选项"其他服务器"
- AI 模型(header: "AI 模型")
- 智谱 GLM-5(国产,无需代理)
- DeepSeek(国产,无需代理)
- OpenAI GPT-4o(需代理或海外服务器)
- Anthropic Claude(需代理或海外服务器)
- 聊天频道(header: "聊天频道")
- Telegram(需 Bot Token,中国大陆需代理)
- Discord(需 Bot Token)
- 飞书(需 Bot Token)
- 暂不配置
- 浏览器控制(header: "浏览器")
- 启用(Bot 可操控浏览器搜索/截图/填表)
- 暂不配置
第二轮(根据第一轮结果追问):
- 如果用户没提供 API Key → 问 API Key
- 如果选了聊天频道 → 问 Bot Token
- 如果用户没有 Bot Token → 给出创建教程:
- Telegram:找 @BotFather,发
/newbot - Discord:去 discord.com/developers 创建 Application → Bot
- 飞书:去 open.feishu.cn 创建自建应用
- Telegram:找 @BotFather,发
- 如果用户没有 Bot Token → 给出创建教程:
- 如果选了 Telegram/Discord 且服务器在中国大陆 → 问代理地址
- 自动判断:如果 SSH 到服务器后
curl -s --connect-timeout 3 https://api.telegram.org失败,则判定需要代理
- 自动判断:如果 SSH 到服务器后
第二步:环境检查
SSH 连接到服务器,单条命令获取全部信息:
ssh <SSH_ARGS> "echo '=== CPU ===' && nproc && echo '=== 内存 ===' && free -h && echo '=== 磁盘 ===' && df -h / && echo '=== 系统 ===' && uname -a && echo '=== Node.js ===' && node -v 2>/dev/null || echo '未安装' && echo '=== npm ===' && npm -v 2>/dev/null || echo '未安装' && echo '=== 包管理器 ===' && which pacman apt yum dnf 2>/dev/null && echo '=== OpenClaw ===' && openclaw --version 2>/dev/null || echo '未安装'"
最低要求:1GB RAM + 500MB 磁盘。不满足则告知用户并停止。
第三步:安装 Node.js(如未安装)
根据检测到的包管理器:
| 包管理器 | 命令 |
|---|---|
| pacman (Arch) | pacman -S --noconfirm nodejs npm |
| apt (Debian/Ubuntu) | curl -fsSL https://deb.nodesource.com/setup_22.x | bash - && apt install -y nodejs |
| dnf (RHEL/Fedora) | dnf install -y nodejs npm |
| yum (CentOS) | curl -fsSL https://rpm.nodesource.com/setup_22.x | bash - && yum install -y nodejs |
安装后验证:node -v && npm -v,确认 Node.js >= 22。
第四步:安装 OpenClaw
curl -fsSL https://openclaw.ai/install.sh | bash
重要:安装脚本会尝试启动交互式 onboarding wizard,在非 TTY 环境会报
/dev/tty: No such device or address错误。这是正常的,OpenClaw 本体已安装成功。
验证:openclaw --version
第五步:写入配置文件
直接写 ~/.openclaw/openclaw.json,不用交互式 wizard。
模型配置模板
{
"models": {
"mode": "merge",
"providers": {
"<PROVIDER_NAME>": {
"baseUrl": "<BASE_URL>",
"apiKey": "<API_KEY>",
"api": "openai-completions",
"models": [
{
"id": "<MODEL_ID>",
"name": "<DISPLAY_NAME>",
"reasoning": false,
"input": ["text"],
"contextWindow": 128000,
"maxTokens": 32000
}
]
}
}
},
"agents": {
"defaults": {
"model": {
"primary": "<PROVIDER_NAME>/<MODEL_ID>"
},
"memorySearch": {
"enabled": false
}
}
},
"gateway": {
"mode": "local"
}
}
常见模型参考
| Provider 名 | MODEL_ID | baseUrl |
|---|---|---|
| zhipu | glm-5 | https://open.bigmodel.cn/api/paas/v4 |
| openai | gpt-4o | https://api.openai.com/v1 |
| deepseek | deepseek-chat | https://api.deepseek.com/v1 |
| kimi | moonshot-v1-128k | https://api.moonshot.cn/v1 |
| qwen | qwen-max | https://dashscope.aliyuncs.com/compatible-mode/v1 |
| anthropic | claude-sonnet-4-5-20250929 | https://api.anthropic.com/v1 |
注意:Anthropic 模型的
api字段应为"anthropic-messages"而非"openai-completions"。
写入后立即修复权限:
mkdir -p ~/.openclaw/agents/main/sessions ~/.openclaw/credentials
chmod 700 ~/.openclaw
chmod 600 ~/.openclaw/openclaw.json
第六步:启动网关(systemd)
按顺序执行:
# 安装 systemd 服务
openclaw gateway install
# 启用 linger(退出 SSH 后服务不会停)
loginctl enable-linger $(whoami)
# 启动
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user start openclaw-gateway.service
等待 3 秒后验证:
systemctl --user status openclaw-gateway.service | head -10
确认 Active: active (running)。
轮换 device token
网关首次启动后,轮换 operator token 修复可能的认证问题:
# 先获取 device ID
DEVICE_ID=$(openclaw devices list 2>&1 | grep -oP '[a-f0-9]{40,}')
# 轮换 token
openclaw devices rotate --role operator --device "$DEVICE_ID"
第七步:配置聊天频道(如需要)
根据用户选择的频道执行对应配置。
7a. 设置频道
Telegram:
openclaw config set channels.telegram.enabled true
openclaw config set channels.telegram.botToken '<BOT_TOKEN>'
openclaw config set channels.telegram.dmPolicy pairing
Discord:
openclaw config set channels.discord.enabled true
openclaw config set channels.discord.botToken '<BOT_TOKEN>'
openclaw config set channels.discord.dmPolicy pairing
飞书:
openclaw config set channels.feishu.enabled true
openclaw config set channels.feishu.token '<BOT_TOKEN>'
openclaw config set channels.feishu.dmPolicy pairing
7b. 配置代理(中国大陆服务器 + 海外频道时必须)
适用场景:服务器在中国大陆,且频道是 Telegram 或 Discord(需访问海外 API)。 飞书是国内服务,不需要代理。
先测试是否需要代理(自动判断):
# Telegram
curl -s --connect-timeout 3 https://api.telegram.org/bot<BOT_TOKEN>/getMe
# Discord
curl -s --connect-timeout 3 https://discord.com/api/v10/users/@me -H "Authorization: Bot <BOT_TOKEN>"
如果超时/失败,说明需要代理。用用户提供的代理测试:
export http_proxy='<PROXY_URL>' && export https_proxy='<PROXY_URL>'
curl -s --connect-timeout 5 https://api.telegram.org/bot<BOT_TOKEN>/getMe
确认返回成功后,写入 systemd override。
重要:proxy.conf 必须一次性写完所有环境变量(代理 + no_proxy + DISPLAY), 不要分多次追加,后续浏览器步骤也不需要再改这个文件。
mkdir -p ~/.config/systemd/user/openclaw-gateway.service.d
cat > ~/.config/systemd/user/openclaw-gateway.service.d/proxy.conf << EOF
[Service]
Environment="http_proxy=<PROXY_URL>"
Environment="https_proxy=<PROXY_URL>"
Environment="no_proxy=127.0.0.1,localhost,::1"
Environment="NO_PROXY=127.0.0.1,localhost,::1"
Environment="DISPLAY=:99"
EOF
为什么要
no_proxy:没有它,OpenClaw 连本地 Chrome CDP 端口也会走代理, 导致浏览器启动成功但 OpenClaw 检测不到,报Failed to start Chrome CDP。 即使当前不配浏览器,也要加上no_proxy,防止后续开启浏览器时踩坑。
为什么要
DISPLAY=:99:浏览器需要显示服务器,即使 headless 模式也需要。 如果不配浏览器,这个变量无害。
7c. 重启网关(必须通过 systemd!)
关键坑点:
openclaw config set会触发内部热重启,但热重启不会加载 systemd 的环境变量(代理)。 所有涉及频道/代理的配置改完后,必须用systemctl --user restart来重启。
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user daemon-reload
systemctl --user restart openclaw-gateway.service
7d. 验证频道连接
等待 5 秒后:
openclaw channels status
确认输出包含 enabled, configured, running。
如果看到 fetch failed 或 Network request failed:代理没生效,检查 proxy.conf 并确认是通过 systemctl 重启的。
7e. 配对用户
让用户在对应频道给 Bot 发一条消息。Bot 会回复配对码。
关键坑点:配对命令是
openclaw pairing approve <channel> <CODE>, 不是openclaw devices approve <CODE>(那个会报unknown requestId)。
# 查看待配对列表(必须指定频道名)
openclaw pairing list <channel>
# 例如:openclaw pairing list telegram
# 批准配对
openclaw pairing approve <channel> <PAIRING_CODE>
# 例如:openclaw pairing approve telegram BAEWET79
配对码有效期约 1 小时。如果过期,让用户重新发消息即可生成新码。
第八步:配置浏览器控制(可选)
让 Bot 能操控浏览器,执行搜索、截图、填表等操作。 如果第一步用户选了「暂不配置」,跳过此步。
8a. 安装 Playwright Chromium + Xvfb
不要用系统自带的 Chromium。滚动发行版(Arch 等)会出现 ICU/libFLAC 等库版本不匹配, 稳定发行版也可能版本过旧。统一用 Playwright 自带的 Chromium,一条命令解决。
# 安装 Playwright Chromium(自带所有依赖,不依赖系统库)
npx playwright install chromium
# 安装 Xvfb 虚拟显示(无头服务器必须)
# Arch:
pacman -S --noconfirm xorg-server-xvfb
# Debian/Ubuntu:
apt install -y xvfb
验证 Playwright Chromium 可运行:
PLAYWRIGHT_CHROME=$(find ~/.cache/ms-playwright/chromium-*/chrome-linux/chrome 2>/dev/null | head -1)
$PLAYWRIGHT_CHROME --version
8b. 创建 Chromium Wrapper + 代理中继(需要代理时)
为什么需要 wrapper:
- OpenClaw 自动检测
/usr/bin/chromium来启动浏览器,wrapper 让它用 Playwright 版本- Chromium 不支持
http_proxyURL 中嵌入的认证(user:pass@host),会报ERR_INVALID_AUTH_CREDENTIALS- wrapper 自动 unset 代理环境变量,改用
--proxy-server指向本地无认证代理中继
如果需要代理(中国大陆访问海外站点),先搭建本地代理中继:
# 创建代理中继脚本(Node.js,去掉认证层,Chrome 直连)
cat > ~/.openclaw/proxy-relay.js << 'RELAYEOF'
const http = require("http");
const net = require("net");
const UPSTREAM_HOST = process.env.PROXY_HOST || "127.0.0.1";
const UPSTREAM_PORT = parseInt(process.env.PROXY_PORT || "7890", 10);
const UPSTREAM_USER = process.env.PROXY_USER || "";
const UPSTREAM_PASS = process.env.PROXY_PASS || "";
const LOCAL_PORT = parseInt(process.env.RELAY_PORT || "7891", 10);
const authHeader = UPSTREAM_USER
? "Basic " + Buffer.from(UPSTREAM_USER + ":" + UPSTREAM_PASS).toString("base64")
: null;
const server = http.createServer((req, res) => {
const opts = { host: UPSTREAM_HOST, port: UPSTREAM_PORT, path: req.url,
method: req.method, headers: { ...req.headers } };
if (authHeader) opts.headers["Proxy-Authorization"] = authHeader;
const proxy = http.request(opts, (pRes) => { res.writeHead(pRes.statusCode, pRes.headers); pRes.pipe(res); });
proxy.on("error", (e) => { res.writeHead(502); res.end(String(e)); });
req.pipe(proxy);
});
server.on("connect", (req, clientSocket, head) => {
const connectReq = "CONNECT " + req.url + " HTTP/1.1\r\nHost: " + req.url + "\r\n"
+ (authHeader ? "Proxy-Authorization: " + authHeader + "\r\n" : "") + "\r\n";
const proxySocket = net.connect(UPSTREAM_PORT, UPSTREAM_HOST, () => { proxySocket.write(connectReq); });
let buf = Buffer.alloc(0);
const onData = (chunk) => {
buf = Buffer.concat([buf, chunk]);
const idx = buf.indexOf("\r\n\r\n");
if (idx === -1) return;
proxySocket.removeListener("data", onData);
const resp = buf.slice(0, idx).toString();
const rest = buf.slice(idx + 4);
if (resp.includes(" 200 ")) {
clientSocket.write("HTTP/1.1 200 Connection Established\r\n\r\n");
if (rest.length) clientSocket.write(rest);
if (head.length) proxySocket.write(head);
proxySocket.pipe(clientSocket); clientSocket.pipe(proxySocket);
} else { clientSocket.end("HTTP/1.1 502 Bad Gateway\r\n\r\n"); proxySocket.end(); }
};
proxySocket.on("data", onData);
proxySocket.on("error", () => clientSocket.destroy());
clientSocket.on("error", () => proxySocket.destroy());
});
server.listen(LOCAL_PORT, "127.0.0.1", () => {
console.log("proxy-relay listening on 127.0.0.1:" + LOCAL_PORT + " -> " + UPSTREAM_HOST + ":" + UPSTREAM_PORT);
});
RELAYEOF
# 创建 systemd 服务(用实际的代理信息替换变量)
cat > ~/.config/systemd/user/proxy-relay.service << EOF
[Unit]
Description=Local Proxy Relay (auth-stripping for Chrome)
Before=openclaw-gateway.service
[Service]
ExecStart=/usr/bin/node /root/.openclaw/proxy-relay.js
Environment="PROXY_HOST=<UPSTREAM_PROXY_HOST>"
Environment="PROXY_PORT=<UPSTREAM_PROXY_PORT>"
Environment="PROXY_USER=<UPSTREAM_PROXY_USER>"
Environment="PROXY_PASS=<UPSTREAM_PROXY_PASS>"
Environment="RELAY_PORT=7891"
Restart=always
RestartSec=3
[Install]
WantedBy=default.target
EOF
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user daemon-reload
systemctl --user enable --now proxy-relay.service
# 验证中继工作
curl -s --connect-timeout 5 -x http://127.0.0.1:7891 https://api.telegram.org | head -1
架构说明:
Chrome --proxy-server=127.0.0.1:7891 → proxy-relay(无认证)→ 上游代理(带认证)→ 海外网站
创建 wrapper(根据是否需要代理,选择对应版本):
# 备份系统 chromium(如果有)
mv /usr/bin/chromium /usr/bin/chromium.system 2>/dev/null
# 获取 Playwright Chrome 路径
PLAYWRIGHT_CHROME=$(find ~/.cache/ms-playwright/chromium-*/chrome-linux/chrome 2>/dev/null | head -1)
# === 需要代理的版本 ===
cat > /usr/bin/chromium << EOF
#!/bin/bash
unset http_proxy https_proxy HTTP_PROXY HTTPS_PROXY
exec $PLAYWRIGHT_CHROME --proxy-server=http://127.0.0.1:7891 "\$@"
EOF
# === 不需要代理的版本 ===
# cat > /usr/bin/chromium << EOF
# #!/bin/bash
# unset http_proxy https_proxy HTTP_PROXY HTTPS_PROXY
# exec $PLAYWRIGHT_CHROME "\$@"
# EOF
chmod +x /usr/bin/chromium
# 验证
/usr/bin/chromium --version
注意:写 wrapper 文件时避免通过 SSH 传递
#!/bin/bash, 某些 shell(zsh)会把!转义为\!。建议用scp或在远程服务器上直接编辑。
8c. 启动 Xvfb 服务
cat > ~/.config/systemd/user/xvfb.service << 'EOF'
[Unit]
Description=Xvfb Virtual Framebuffer
Before=openclaw-gateway.service
[Service]
ExecStart=/usr/bin/Xvfb :99 -screen 0 1280x720x24 -nolisten tcp
Restart=always
RestartSec=3
[Install]
WantedBy=default.target
EOF
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user daemon-reload
systemctl --user enable --now xvfb.service
8d. 配置 OpenClaw 浏览器(三个必设项 + profile)
三个配置缺一不可,否则 Chrome 无法在无头服务器上以 root 运行:
openclaw config set browser.enabled true
openclaw config set browser.headless true # 无头模式,不开会尝试打开 GUI
openclaw config set browser.noSandbox true # root 运行必须,否则 Chrome 静默崩溃
创建 headless profile(使用 openclaw 驱动,不用 Chrome 扩展):
openclaw browser create-profile --name headless --driver openclaw --color '#0066CC'
openclaw config set browser.defaultProfile headless
不要用默认的 extension driver。extension driver 需要在 Chrome 里安装 OpenClaw 扩展, 无头服务器上不可能操作。
--driver openclaw使用 Playwright 直接驱动。
8e. 确保 systemd 环境变量完整
如果第 7 步已经写了 proxy.conf(含
no_proxy和DISPLAY=:99),这里不需要再改。 如果第 7 步没配代理(不需要代理的场景),这里只需加DISPLAY:
# 仅当第 7 步没写过 proxy.conf 时才需要
mkdir -p ~/.config/systemd/user/openclaw-gateway.service.d
cat > ~/.config/systemd/user/openclaw-gateway.service.d/proxy.conf << 'EOF'
[Service]
Environment="DISPLAY=:99"
EOF
8f. 清理 + 验证配置 + 重启
重要:先运行
openclaw doctor --fix清理可能的无效配置 key, 避免网关因配置校验失败反复崩溃重启。
# 清理无效配置
openclaw doctor --fix
# 杀掉可能残留的 Chrome 进程
killall -9 chrome chrome_crashpad 2>/dev/null
rm -f ~/.openclaw/browser/headless/user-data/SingletonLock 2>/dev/null
# 重启网关
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user daemon-reload
systemctl --user restart openclaw-gateway.service
sleep 5
# 测试导航(用简单站点,首次连接较慢属正常)
openclaw browser navigate https://example.com --timeout 60000
# 测试快照
openclaw browser snapshot | head -20
# 确认状态(应显示 running: true)
openclaw browser status
8g. 低功耗设备性能调优(ARM/树莓派等)
适用场景:树莓派、ARM 开发板等低功耗设备。x86 服务器通常不需要。 核心问题:Chrome 使用
swiftshader-webgl(CPU 软件渲染),ARM CPU 处理复杂页面极慢。 内存不是瓶颈(8GB 足够),CPU 才是。
问题 1:浏览器操作超时 20 秒不够
OpenClaw 硬编码了 20 秒超时(timeoutMs: 2e4),低功耗设备上需要 60 秒。
# 修改所有浏览器操作超时:20s → 60s
for f in pi-embedded-*.js reply-*.js; do
FILE="/usr/lib/node_modules/openclaw/dist/$f"
[ -f "$FILE" ] && sed -i 's/timeoutMs: 2e4/timeoutMs: 6e4/g' "$FILE"
done
# 修改浏览器 CLI 命令超时
for f in browser-cli-*.js; do
FILE="/usr/lib/node_modules/openclaw/dist/$f"
[ -f "$FILE" ] && sed -i 's/timeoutMs: 2e4/timeoutMs: 6e4/g; s/?? 2e4/?? 6e4/g' "$FILE"
done
# 修改默认代理超时常量
sed -i 's/DEFAULT_BROWSER_PROXY_TIMEOUT_MS = 2e4/DEFAULT_BROWSER_PROXY_TIMEOUT_MS = 6e4/g' \
/usr/lib/node_modules/openclaw/dist/pi-embedded-*.js \
/usr/lib/node_modules/openclaw/dist/reply-*.js
问题 2:Playwright CDP 连接超时太短
Playwright 连接 Chrome 有 3 次重试(5s/7s/9s),ARM 设备上不够。改为 15s/20s/25s:
# 增加 Playwright CDP 连接超时
sed -i 's/const timeout = 5e3 + attempt \* 2e3/const timeout = 15e3 + attempt * 5e3/g' \
/usr/lib/node_modules/openclaw/dist/pw-ai-*.js
问题 3:Chrome 重启后恢复旧标签
Chrome 从 user-data 恢复上次会话的所有标签页,在低功耗设备上多标签会耗尽 CPU。 每次重启网关前需要清理:
# 关闭所有 Chrome 标签(保留一个空白页)
curl -s http://127.0.0.1:18801/json/list 2>/dev/null | \
python3 -c "
import sys,json,urllib.request
try:
tabs=json.load(sys.stdin)
for t in tabs[1:]:
urllib.request.urlopen(f'http://127.0.0.1:18801/json/close/{t[\"id\"]}')
print(f'Closed {len(tabs)-1} tabs')
except: pass
" 2>/dev/null
注意:以上源码修改会在 OpenClaw 更新后被覆盖,需要重新执行。
低功耗设备浏览器使用建议:
- 避免重型 SPA(Google News、Twitter 等),超过 60 秒仍会超时
- 优先用轻量级/文本版网站(CNN Lite、RSS feeds、API 接口)
- 简单页面(example.com、百度)通常 3-5 秒内完成
- 首次浏览器操作较慢(Playwright 需建立 CDP 连接),后续操作快很多
8h. X/Twitter 登录(可选)
适用场景:让 Bot 能以已登录身份浏览 X/Twitter(查看时间线、搜索等)。 需要先完成 8a-8f 的浏览器配置。
前置条件:用户需提供 X/Twitter 的 auth_token(40 位十六进制)。
这个 token 可从已登录浏览器的 Cookies 中提取(开发者工具 → Application → Cookies → x.com → auth_token)。
核心经验:不要尝试在服务器上自动化登录流程! 直接注入 auth_token 是唯一可靠方案。 我们尝试过 7+ 种登录方案全部失败(见踩坑总结 22-30),原因包括:
- X 的登录页在 ARM + swiftshader 上无法渲染
- API 登录流程会触发 IP 限频(error 399)
- Python HTTP 客户端被 Cloudflare TLS 指纹识别拦截
- Chrome 跨域请求(CORS)限制无法绕过
- CDP Fetch 拦截开启后 fetch 调用全部报错
获取 auth_token
用户需要在自己的电脑浏览器上获取 auth_token(服务器上无法完成登录):
- 在电脑浏览器登录 x.com
- 打开开发者工具(F12)→ Application → Cookies →
https://x.com - 找到
auth_token,复制值(40 位十六进制字符串)
关键理解:之前"成功登录"实际上不是在服务器上完成登录,而是复用了一个已有的有效 auth_token。 本质是"贴了一张有效的门票",不是"重新买票"。服务器上没有任何可靠方式完成 X 的登录流程。
注入 auth_token 到 Chrome
# /tmp/x-inject-token.py — 通过 CDP 注入 auth_token
import json, socket, struct, hashlib, base64, time, os, urllib.request
CDP_URL = "http://127.0.0.1:18801"
AUTH_TOKEN = "<用户提供的auth_token>"
# ... CDP 类(见下方完整代码)...
# 1. 清除旧的 x.com/twitter.com cookies
all_ck = c.cmd("Network.getAllCookies")
for ck in all_ck.get("cookies", []):
dom = ck.get("domain", "")
if "x.com" in dom or "twitter.com" in dom:
c.cmd("Network.deleteCookies", {"name": ck["name"], "domain": dom})
# 2. 注入 auth_token(必须带 expires 参数!)
expires = time.time() + 365 * 86400
for dom in [".x.com", ".twitter.com"]:
c.cmd("Network.setCookie", {
"name": "auth_token", "value": AUTH_TOKEN,
"domain": dom, "path": "/", "secure": True, "httpOnly": True,
"expires": expires, "sameSite": "None"
})
# 3. 导航到 x.com/home 触发会话建立
c.cmd("Page.navigate", {"url": "https://x.com/home"})
time.sleep(25) # ARM 设备需要更长等待
# 4. 验证:页面标题应为 "(N) Home / X",且 cookies 包含 ct0 和 twid
all_ck = c.cmd("Network.getAllCookies")
# 从 Network 层读取 cookies(ct0 是 httpOnly,JS 读不到)
# 5. 保存全部 cookies(含 ct0、twid 等会话后生成的 cookie)
x_ck = {}
for ck in all_ck.get("cookies", []):
dom = ck.get("domain", "")
if "x.com" in dom or "twitter.com" in dom:
x_ck[ck["name"]] = ck["value"]
with open(os.path.expanduser("~/.openclaw/x-cookies.json"), "w") as f:
json.dump(x_ck, f, indent=2)
# 6. 回写全部 cookies 并带 expires(确保持久化到 Chrome 用户目录)
for name, val in x_ck.items():
if isinstance(val, str):
for dom in [".x.com", ".twitter.com"]:
c.cmd("Network.setCookie", {
"name": name, "value": val, "domain": dom,
"path": "/", "secure": True,
"httpOnly": name in ("auth_token", "ct0"),
"expires": expires, "sameSite": "None"
})
Cookie 持久化(关键!)
大坑:
Network.setCookie不带expires参数时,cookie 只存在内存中, Chrome 重启后全部丢失,Twitter 检测到 session 断开会吊销 auth_token。 一旦 token 被吊销就永久失效,必须用户重新在电脑上登录获取新 token。
必须做的两件事:
- 注入时必须带
expires参数(设为 1 年后),让 Chrome 写入磁盘持久化 - 登录成功后回写全部 cookies:导航到 x.com/home 后,Twitter 会生成
ct0、twid等新 cookie, 这些 cookie 也需要用Network.setCookie+expires回写一遍,否则它们也是内存态
验证 cookie 是否持久化: 重启 Chrome 后,检查 cookies 是否还在:
all_ck = c.cmd("Network.getAllCookies")
auth = [ck for ck in all_ck.get("cookies", []) if ck["name"] == "auth_token"]
print(f"auth_token exists: {len(auth) > 0}")
验证成功的标志
- 页面标题包含
Home / X(不是Login或空白页) - Cookies 中出现
ct0(CSRF token)和twid(用户 ID) - URL 保持在
x.com/home(没被重定向到登录页)
保存 cookies 供其他工具使用:
# cookies 保存位置
~/.openclaw/x-cookies.json
重要:
ct0cookie 是 httpOnly 的,只能通过 CDPNetwork.getAllCookies读取, 不能用document.cookie读(会返回空)。这是一个常见误判——看到ct0: none就以为登录失败, 实际上页面标题Home / X已经证明登录成功了。
安装 x-tweet-fetcher skill(可选):
让 Bot 能通过命令获取 X/Twitter 推文内容:
# 手动下载安装(clawhub install 经常限频)
SKILL_DIR="/usr/lib/node_modules/openclaw/skills/x-tweet-fetcher"
mkdir -p "$SKILL_DIR/scripts"
# 下载 SKILL.md 和 fetch_tweet.py
curl -sL "https://raw.githubusercontent.com/ythx-101/x-tweet-fetcher/main/SKILL.md" \
-o "$SKILL_DIR/SKILL.md"
curl -sL "https://raw.githubusercontent.com/ythx-101/x-tweet-fetcher/main/scripts/fetch_tweet.py" \
-o "$SKILL_DIR/scripts/fetch_tweet.py"
chmod +x "$SKILL_DIR/scripts/fetch_tweet.py"
# 验证
openclaw skills list 2>&1 | grep tweet
坑:
fetch_tweet.py使用urllib.request.urlopen(),这个函数不会自动使用https_proxy环境变量。 如果服务器需要代理才能访问外网,必须手动添加 ProxyHandler:
# 在 fetch_tweet.py 的 import 部分加 import os
# 在 urlopen 之前加:
proxy_url = os.environ.get("https_proxy") or os.environ.get("http_proxy") or ""
if proxy_url:
opener = urllib.request.build_opener(
urllib.request.ProxyHandler({"https": proxy_url, "http": proxy_url})
)
else:
opener = urllib.request.build_opener()
# 然后用 opener.open(url) 替换 urllib.request.urlopen(url)
第九步:最终验证
# 1. 健康检查
openclaw health
# 2. 频道状态
openclaw channels status
# 3. 测试模型连通(命令行)
openclaw agent --local --agent main -m '你好,简短确认你是什么模型'
# 4. systemd 服务状态
export XDG_RUNTIME_DIR=/run/user/$(id -u)
systemctl --user status openclaw-gateway.service | head -5
# 5. 浏览器状态(如已配置)
openclaw browser status
全部通过后,输出总结表格:
| 项目 | 状态 |
|---|---|
| OpenClaw | 版本号 |
| 模型 | provider/model-id |
| 网关 | systemd active (running) |
| Linger | 已启用 |
| 频道 | 频道名 + running |
| Bot 链接 | t.me/xxx_bot |
| 代理 | 有/无 |
| 浏览器 | running / 未配置 |
保存凭证
在用户本地工作目录保存一份凭证备忘录:
文件名:openclaw-credentials.txt
内容:服务器地址、Bot 名称、Bot Token、模型 provider
踩坑总结(按流程顺序)
| 编号 | 坑 | 原因 | 正确做法 |
|---|---|---|---|
| 1 | 安装脚本报 /dev/tty 错误 | 非交互式 SSH 无 TTY | 忽略,OpenClaw 已装好,手动写配置 |
| 2 | openclaw channels add --channel telegram 报 Unknown channel | Telegram 不是通过 channels add 配置的 | 用 openclaw config set channels.telegram.* |
| 3 | Telegram API 连不上(fetch failed) | 中国大陆无法直连 api.telegram.org | 必须配代理,写入 systemd 环境变量 |
| 4 | 代理配了但重启后还是 fetch failed | openclaw config set 触发热重启不加载 systemd 环境变量 | 必须用 systemctl --user restart |
| 5 | openclaw devices approve <CODE> 报 unknown requestId | 用错命令了 | 正确命令:openclaw pairing approve telegram <CODE> |
| 6 | openclaw pairing list 报 Channel required | 必须指定频道参数 | openclaw pairing list telegram |
| 7 | 配置验证报错 dmPolicy="open" requires allowFrom to include "*" | open 模式需要显式设置 allowFrom | 用 pairing 模式,不要改成 open |
| 8 | gateway 需要 gateway.mode 才能启动 | 手动写配置时漏了 | 配置文件里加 "gateway": {"mode": "local"} |
| 9 | State integrity 报目录缺失 | 首次安装未创建必要目录 | mkdir -p ~/.openclaw/agents/main/sessions ~/.openclaw/credentials |
| 10 | 退出 SSH 后网关停止 | systemd user session 无 linger | loginctl enable-linger |
| 11 | 系统 Chromium 启动报库版本不匹配 | Arch 等滚动发行版 ICU/libFLAC 版本不兼容 | 用 Playwright 自带 Chromium,创建 wrapper 替换 /usr/bin/chromium |
| 12 | Chrome extension relay not reachable at 127.0.0.1:18792 | 默认 profile 用 extension driver,需要 Chrome 扩展 | 创建 headless profile:--driver openclaw(用 Playwright 直接驱动) |
| 13 | Failed to start Chrome CDP on port 18801(Chrome 已启动但检测不到) | http_proxy 导致 OpenClaw 连 localhost CDP 也走代理 | systemd 环境变量加 no_proxy=127.0.0.1,localhost,::1 |
| 14 | 浏览器导航报 net::ERR_INVALID_AUTH_CREDENTIALS | Chromium 不支持 http_proxy URL 中的 user:pass@ 认证格式 | wrapper 脚本中 unset http_proxy https_proxy |
| 15 | browser.headless 和 browser.noSandbox 未设置 | 默认都是 false,root 无头运行必须开启 | openclaw config set browser.headless true + browser.noSandbox true |
| 16 | 浏览器操作超时 timed out after 20000ms | OpenClaw 硬编码 20 秒超时,ARM 设备 CPU 软件渲染太慢 | 修改源码 timeoutMs: 2e4 → 6e4(见 8g 节) |
| 17 | Playwright CDP 连接超时 Timeout 9000ms exceeded | 首次连接重试 5s/7s/9s 不够,ARM 上 Chrome 初始化慢 | 修改源码 5e3 + attempt * 2e3 → 15e3 + attempt * 5e3(见 8g 节) |
| 18 | 重启后浏览器操作卡死(14 个标签恢复) | Chrome 从 user-data 恢复旧会话标签,多标签耗尽 CPU | 重启前用 CDP API 关闭多余标签,或清理 user-data |
| 19 | Google News 等重型 SPA 始终超时 | ARM + swiftshader 软件渲染,复杂 JS/CSS 渲染超过 60 秒 | 用轻量级网站或 RSS/API 替代,无法通过增加超时解决 |
| 20 | Chrome 能访问国内站但无法访问海外站 | wrapper 中 unset 了代理变量,Chrome 无法直连海外 | 搭建本地代理中继 + --proxy-server=127.0.0.1:7891(见 8b 节) |
| 21 | SSH 传输 wrapper 脚本 shebang 变成 #\! | zsh 的历史扩展把 ! 转义成 \! | 用 scp 传输文件,或在远程服务器上直接编辑 |
| 22 | X 登录页显示 "Something went wrong" | ARM + swiftshader 软件渲染无法运行 X 的 React SPA | 不要用浏览器自动化登录,直接注入 auth_token |
| 23 | Twitter API 登录返回 error 399 "Could not log you in now" | 多次失败尝试触发 IP 级别限频 | 不要反复重试登录 API,一旦被限频需等待数小时 |
| 24 | Python twikit/httpx 被 Cloudflare 403 拦截 | Python HTTP 客户端的 TLS 指纹与浏览器不同 | 只能通过真实浏览器(Chrome CDP)发起请求 |
| 25 | Chrome fetch + credentials: 'include' 报 CORS 错误 | x.com 向 api.twitter.com 带凭据的跨域请求触发 preflight 失败 | 用 CDP Fetch.enable 在协议层注入 Cookie 头绕过 CORS |
| 26 | document.cookie 读不到 ct0 | ct0 是 httpOnly cookie,JS 无权访问 | 用 CDP Network.getAllCookies 从协议层读取 |
| 27 | urllib.request.urlopen() 不走代理 | urllib 的 urlopen 默认不使用 https_proxy 环境变量 | 显式创建 ProxyHandler + build_opener |
| 28 | env 文件 source 报 command not found | 密码/token 中含 | 等特殊字符未加引号,bash 把 | 后面当命令执行 | env 文件中所有值用单引号包裹 |
| 29 | Chrome 重启后 X 登录丢失,auth_token 被吊销 | Network.setCookie 不带 expires 只存内存,重启后丢失;Twitter 检测 session 断开后吊销 token | 注入 cookie 时必须带 expires(1 年),登录后回写全部 cookie 也带 expires |
| 30 | 服务器上所有自动登录方案均失败(API/twikit/CDP Fetch/Chrome JS/CORS) | ARM 软件渲染 + Cloudflare TLS 指纹 + CORS 限制 = 无法在服务器完成登录 | 放弃在服务器登录,让用户在自己电脑浏览器获取 auth_token 后注入 |