Mac mini部署OpenClaw需要什么配置？

不需要高配置，16GB内存加256GB存储即可，因为不依赖本地大模型。重要的是做好系统优化，包括开启防止自动休眠、配置远程控制（SSH和屏幕共享），以及设置断电后自动重启。

在Mac mini上运行OpenClaw有哪些安全注意事项？

强烈建议只在非主力机上安装，注册专属Apple ID而非使用个人账号。需为终端应用授予完全磁盘访问和辅助功能权限，并做好所有数据可能消失的准备。

第一次用 Mac mini：部署 OpenClaw 踩坑全记录

约 2579 字大约 9 分钟...

之前 OpenClaw 一直跑在云端，收到 Cloudflare 50 刀的月账单之后，我决定改为本地部署，年后入手了 Mac mini（16G + 256G）。因为我不指望用本地大模型，所以硬件配置方面没有太高要求。OpenClaw 除了 macOS，也支持 Linux 和 WSL2（不建议原生 Windows）。下面是我作为一个从来没用过 Mac mini 的人，在使用过程中碰到的各种坑，以及我觉得新入手 macOS、使用 OpenClaw 需要注意的一些点。

macOS 基础适应

如果你和我一样是 Windows 过来的，有几个差异先知道会少踩坑：

软件安装：Mac 上装软件要么从 App Store，要么下载 .dmg 文件打开后把图标拖进 Applications 文件夹。命令行装软件用 Homebrew（相当于 Windows 的 winget/scoop），终端执行 /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" 即可安装。
终端：macOS 默认终端是 zsh（不是 bash），常用操作和 Linux 基本一致。
鼠标滚轮：Mac 默认开启「自然滚动」，滚轮方向和 Windows 相反。不习惯的话，到「系统设置 > 鼠标」里关掉「自然滚动」。

系统基础设置

由于 Mac mini 通常会作为"Headless"（无显示器）服务器运行，第一步是确保它能持久在线并方便远程管理。

电源与休眠

进入「系统设置 > 能耗」，开启"显示器关闭时，防止自动进入睡眠"。同时建议在终端运行以下命令，确保断电恢复后自动开机：

sudo pmset -a autorestart 1

无感重启

如果这台 Mac mini 是专门拿来跑 OpenClaw 的独立设备，并且放在可信环境中，可以考虑开启自动登录（系统设置 > 用户与群组 > 自动登录）。这样系统重启后，OpenClaw 可以随开机启动项直接拉起，无需等待手动输入密码解锁文件系统。若这台机器还存放个人资料，或存在他人物理接触风险，就不要开启。

远程控制

在「系统设置 > 通用 > 共享」中，务必打开以下选项：

屏幕共享：方便通过 VNC 客户端远程查看桌面。
远程登录（SSH）：方便从终端直接连入 Mac mini。
文件共享（可选）：如果你需要从其他设备访问 Mac mini 的文件，先在这里打开开关，具体的 SMB 配置见后文「局域网共享文件夹」章节。

查看 Mac mini 的 IP 地址：打开「系统设置 > 网络」，当前连接的网络下会显示 IP（或在终端执行 ifconfig | grep "inet " 查看）。建议在路由器里为 Mac mini 绑定固定 IP，避免重启后地址变化。

如果只是查看画面，可以使用 RealVNC Viewer，清晰度比较好。操作时不需要注册账号，直接连局域网 IP 即可。

安装 OpenClaw

OpenClaw 安装非常简单，只需要在终端依次执行以下命令：

sudo curl -fsSL https://openclaw.ai/install.sh | bash

openclaw onboard --install-daemon

其中，第二条命令用于安装并注册 OpenClaw 守护进程。这里使用 sudo 是为了避免缺少 Homebrew 等依赖导致安装失败。不过，新手最好先确认域名和安装脚本来源可信，再执行这类 curl | bash 命令。

账号与隐私安全

OpenClaw 拥有极高的系统权限（读写文件、操作浏览器、发消息等），建议只在非主力机上安装。

使用专属 Apple ID

如果你想让 OpenClaw 接管 iMessage 或系统日历，强烈建议注册并登录一个全新的 Apple ID，不要使用存放了个人隐私和重要备忘录的主力账号。把它当做一个真实的"助理账号"来对待。

权限放行

首次运行 OpenClaw 后，可以通过下面两个动作分别触发权限申请并点击允许：

触发辅助功能权限：直接在对话里给 OpenClaw 一个最简单的桌面操作指令，例如“请把鼠标移动到屏幕中央”。
触发文件访问权限：

open ~/.openclaw

然后在「系统设置 > 隐私与安全性」中，确认为 OpenClaw 运行的终端（或 Node 环境）授予完全磁盘访问权限和辅助功能权限，否则它将无法跨应用执行本地自动化脚本。如果你平时是通过 iTerm、Warp 或 VS Code 内置终端启动 OpenClaw，需要授权的往往不是 Terminal.app，而是你实际使用的那个终端应用。

远程访问 WebUI

为了能在局域网内随时访问 OpenClaw 的 Web UI 控制台，可以编辑配置文件 ~/.openclaw/openclaw.json，参考以下配置（关闭了安全验证，仅适用于局域网环境）：

{
  "gateway": {
    "port": 18789,
    "mode": "local",
    "bind": "lan",
    "controlUi": {
      "enabled": true,
      "allowInsecureAuth": true,
      "dangerouslyDisableDeviceAuth": true,
      "allowedOrigins": ["http://192.168.2.127:18789", "http://localhost:18789"]
    },
    "auth": {
      "mode": "token",
      "token": "你的自定义Token"
    }
  }
}

配置完成后，在局域网内访问 http://192.168.2.127:18789?token=你的Token 即可打开控制台。

注意：
这套配置只建议用于受信任的家庭局域网，不要直接映射到公网。
allowInsecureAuth 和 dangerouslyDisableDeviceAuth 都属于降低安全性的选项，只是为了换取局域网内访问方便。
重启后 IP 可能变化，allowedOrigins 和访问地址都要跟着改（前面提到的固定 IP 绑定在这里也很重要）。
如果你把 token 直接写在 URL 里，链接可能会留在浏览器历史记录中，最好只在自己的设备上使用。