節點
節點 是一個伴隨設備(macOS/iOS/Android/headless),它使用 role: "node" 連接到 Gateway WebSocket(與操作員相同的端口),並透過 node.invoke 公開指令介面(例如 canvas.*、camera.*、device.*、notifications.*、system.*)。通訊協定細節:Gateway protocol。
舊版傳輸:Bridge protocol(TCP JSONL;對於目前的節點已棄用/移除)。
macOS 也可以在 節點模式 下執行:功能表列應用程式連接到閘道器的 WS 伺服器,並將其本機畫布/相機指令作為節點暴露(因此 openclaw nodes … 可對此 Mac 執行)。
備註:
- 節點是 週邊裝置,而非閘道器。它們不執行閘道器服務。
- Telegram/WhatsApp/等訊息會抵達 閘道器,而不是節點。
- 疑難排解手冊:/nodes/troubleshooting
配對 + 狀態
Section titled “配對 + 狀態”WS 節點使用裝置配對。 節點在 connect 期間展示裝置身分;閘道器
會為 role: node 建立裝置配對請求。透過裝置 CLI(或 UI)批准。
快速 CLI:
openclaw devices listopenclaw devices approve <requestId>openclaw devices reject <requestId>openclaw nodes statusopenclaw nodes describe --node <idOrNameOrIp>如果節點使用變更後的驗證詳細資料(角色/範圍/公開金鑰)重試,先前的
待處理請求將被取代,並建立一個新的 requestId。請在批准前重新執行
openclaw devices list。
備註:
nodes status在節點的裝置配對角色包含node時,將其標記為 已配對。node.pair.*(CLI:openclaw nodes pending/approve/reject) 是一個單獨的閘道器擁有 的節點配對儲存;它 不 閘控 WSconnect交握。
遠端節點主機 (system.run)
Section titled “遠端節點主機 (system.run)”當您的 Gateway 在一部機器上運行,並希望指令在另一部機器上執行時,請使用 node host。模型仍然與 gateway 對話;當選擇 host=node 時,gateway 會將 exec 呼叫轉發至 node host。
什麼在哪裡運行
Section titled “什麼在哪裡運行”- Gateway host:接收訊息、運行模型、路由工具呼叫。
- Node host:在 node 機器上執行
system.run/system.which。 - Approvals:透過
~/.openclaw/exec-approvals.json在 node host 上強制執行。
核准備註:
- 有核准支援的 node runs 會綁定確切的請求上下文。
- 對於直接的 shell/runtime 執行檔案執行,OpenClaw 也會盡最大努力綁定一個具體的本機 檔案操作數,並且如果該檔案在執行前變更則拒絕執行。
- 如果 OpenClaw 無法為解釋器/runtime 指令識別出確切的一個具體本機檔案, 將會拒絕有核准支援的執行,而不是假裝具有完整的 runtime 涵蓋範圍。請使用沙盒、 獨立的主機,或是針對更廣泛的解釋器語義使用明確的可信任允許清單/完整工作流程。
啟動 node host (前景)
Section titled “啟動 node host (前景)”在 node 機器上:
openclaw node run --host <gateway-host> --port 18789 --display-name "Build Node"透過 SSH 通道遠端連接 gateway (loopback 綁定)
Section titled “透過 SSH 通道遠端連接 gateway (loopback 綁定)”如果 Gateway 綁定到 loopback (gateway.bind=loopback,本地模式下的預設值),
遠端 node hosts 將無法直接連線。請建立 SSH 通道並將 node host
指向通道的本地端。
範例 (node host -> gateway host):
# Terminal A (keep running): forward local 18790 -> gateway 127.0.0.1:18789ssh -N -L 18790:127.0.0.1:18789 user@gateway-host
# Terminal B: export the gateway token and connect through the tunnelexport OPENCLAW_GATEWAY_TOKEN="<gateway-token>"openclaw node run --host 127.0.0.1 --port 18790 --display-name "Build Node"備註:
openclaw node run支援 token 或密碼驗證。- 建議使用環境變數:
OPENCLAW_GATEWAY_TOKEN/OPENCLAW_GATEWAY_PASSWORD。 - 組態備選方案是
gateway.auth.token/gateway.auth.password。 - 在本地模式下,node host 會刻意忽略
gateway.remote.token/gateway.remote.password。 - 在遠端模式下,根據遠端優先順序規則,
gateway.remote.token/gateway.remote.password是有效的。 - 如果設定了有效的本地
gateway.auth.*SecretRefs 但未解析,node-host 驗證將會失敗並關閉。 - Node-host 驗證解析僅遵守
OPENCLAW_GATEWAY_*環境變數。
啟動 node host (服務)
Section titled “啟動 node host (服務)”openclaw node install --host <gateway-host> --port 18789 --display-name "Build Node"openclaw node restart配對 + 命名
Section titled “配對 + 命名”在 gateway host 上:
openclaw devices listopenclaw devices approve <requestId>openclaw nodes status如果節點使用變更的驗證詳細資訊重試,請重新執行 openclaw devices list 並核准目前的 requestId。
命名選項:
--display-name在openclaw node run/openclaw node install上(持續儲存在節點的~/.openclaw/node.json中)。openclaw nodes rename --node <id|name|ip> --name "Build Node"(閘道覆寫)。
將指令加入允許清單
Section titled “將指令加入允許清單”執行核准是針對每個節點主機的。請從閘道新增允許清單項目:
openclaw approvals allowlist add --node <id|name|ip> "/usr/bin/uname"openclaw approvals allowlist add --node <id|name|ip> "/usr/bin/sw_vers"核准資訊儲存在節點主機的 ~/.openclaw/exec-approvals.json 中。
將執行指向節點
Section titled “將執行指向節點”設定預設值(閘道設定):
openclaw config set tools.exec.host nodeopenclaw config set tools.exec.security allowlistopenclaw config set tools.exec.node "<id-or-name>"或每個階段:
/exec host=node security=allowlist node=<id-or-name>設定後,任何具有 host=node 的 exec 呼叫都會在節點主機上執行(受節點允許清單/核准約束)。
相關連結:
低階(原始 RPC):
openclaw nodes invoke --node <idOrNameOrIp> --command canvas.eval --params '{"javaScript":"location.href"}'針對常見的「提供代理程式 MEDIA 附件」工作流程,存在高階輔助程式。
螢幕截圖(畫布快照)
Section titled “螢幕截圖(畫布快照)”如果節點正在顯示畫布(WebView),canvas.snapshot 會傳回 { format, base64 }。
CLI 輔助程式(寫入暫存檔案並列印 MEDIA:<path>):
openclaw nodes canvas snapshot --node <idOrNameOrIp> --format pngopenclaw nodes canvas snapshot --node <idOrNameOrIp> --format jpg --max-width 1200 --quality 0.9openclaw nodes canvas present --node <idOrNameOrIp> --target https://example.comopenclaw nodes canvas hide --node <idOrNameOrIp>openclaw nodes canvas navigate https://example.com --node <idOrNameOrIp>openclaw nodes canvas eval --node <idOrNameOrIp> --js "document.title"備註:
canvas present接受 URL 或本地檔案路徑(--target),以及用於定位的選用--x/--y/--width/--height。canvas eval接受內聯 JS(--js)或位置引數。
A2UI (畫布)
Section titled “A2UI (畫布)”openclaw nodes canvas a2ui push --node <idOrNameOrIp> --text "Hello"openclaw nodes canvas a2ui push --node <idOrNameOrIp> --jsonl ./payload.jsonlopenclaw nodes canvas a2ui reset --node <idOrNameOrIp>備註:
- 僅支援 A2UI v0.8 JSONL(拒絕 v0.9/createSurface)。
照片 + 影片(節點相機)
Section titled “照片 + 影片(節點相機)”照片(jpg):
openclaw nodes camera list --node <idOrNameOrIp>openclaw nodes camera snap --node <idOrNameOrIp> # default: both facings (2 MEDIA lines)openclaw nodes camera snap --node <idOrNameOrIp> --facing front影片片段(mp4):
openclaw nodes camera clip --node <idOrNameOrIp> --duration 10sopenclaw nodes camera clip --node <idOrNameOrIp> --duration 3000 --no-audio備註:
- 節點必須處於前景才能使用
canvas.*和camera.*(背景呼叫會傳回NODE_BACKGROUND_UNAVAILABLE)。 - 片段持續時間會被限制(目前為
<= 60s),以避免 base64 載荷過大。 - Android 會在可能的情況下提示授予
CAMERA/RECORD_AUDIO權限;被拒絕的權限會導致*_PERMISSION_REQUIRED失敗。
螢幕錄製(節點)
Section titled “螢幕錄製(節點)”支援的節點會公開 screen.record (mp4)。範例:
openclaw nodes screen record --node <idOrNameOrIp> --duration 10s --fps 10openclaw nodes screen record --node <idOrNameOrIp> --duration 10s --fps 10 --no-audio備註:
screen.record的可用性取決於節點平台。- 螢幕錄製被限制為
<= 60s。 --no-audio會在支援的平台上停用麥克風捕捉。- 當有多個螢幕可用時,使用
--screen <index>來選擇顯示器。
位置(節點)
Section titled “位置(節點)”當在設定中啟用位置時,節點會公開 location.get。
CLI 輔助工具:
openclaw nodes location get --node <idOrNameOrIp>openclaw nodes location get --node <idOrNameOrIp> --accuracy precise --max-age 15000 --location-timeout 10000備註:
- 位置預設為關閉。
- 「始終」需要系統權限;背景擷取則為盡力而為。
- 回應包括經緯度、精確度(公尺)和時間戳記。
SMS(Android 節點)
Section titled “SMS(Android 節點)”當使用者授予 SMS 權限且裝置支援電話功能時,Android 節點可以公開 sms.send。
低層級調用:
openclaw nodes invoke --node <idOrNameOrIp> --command sms.send --params '{"to":"+15555550123","message":"Hello from OpenClaw"}'備註:
- 在通告此功能之前,必須在 Android 裝置上接受權限提示。
- 不具電話功能的僅 Wi-Fi 裝置將不會通告
sms.send。
Android 裝置 + 個人資料指令
Section titled “Android 裝置 + 個人資料指令”當啟用對應功能時,Android 節點可以通告額外的指令系列。
可用的系列:
device.status,device.info,device.permissions,device.healthnotifications.list,notifications.actionsphotos.latestcontacts.search,contacts.addcalendar.events,calendar.addcallLog.searchsms.searchmotion.activity,motion.pedometer
範例調用:
openclaw nodes invoke --node <idOrNameOrIp> --command device.status --params '{}'openclaw nodes invoke --node <idOrNameOrIp> --command notifications.list --params '{}'openclaw nodes invoke --node <idOrNameOrIp> --command photos.latest --params '{"limit":1}'備註:
- 動作指令取決於可用感應器進行功能控制。
系統指令(節點主機 / mac 節點)
Section titled “系統指令(節點主機 / mac 節點)”macOS 節點公開 system.run、system.notify 和 system.execApprovals.get/set。
無介面節點主機公開 system.run、system.which 和 system.execApprovals.get/set。
範例:
openclaw nodes notify --node <idOrNameOrIp> --title "Ping" --body "Gateway ready"openclaw nodes invoke --node <idOrNameOrIp> --command system.which --params '{"name":"git"}'備註:
system.run會在承載中傳回 stdout/stderr/exit code。- Shell 執行現透過帶有
host=node的exec工具進行;nodes仍然是明確節點指令的直接 RPC 介面。 nodes invoke不公開system.run或system.run.prepare;這些僅保留在 exec 路徑上。system.notify遵守 macOS 應用程式上的通知權限狀態。- 無法辨識的節點
platform/deviceFamily元資料使用保守的預設允許清單,其中排除system.run和system.which。如果您故意需要針對未知平台使用這些指令,請透過gateway.nodes.allowCommands明確新增它們。 system.run支援--cwd、--env KEY=VAL、--command-timeout和--needs-screen-recording。- 對於 shell 包裝器(
bash|sh|zsh ... -c/-lc),請求範圍的--env值會被精簡為明確的允許清單(TERM、LANG、LC_*、COLORTERM、NO_COLOR、FORCE_COLOR)。 - 在允許清單模式下,對於「總是允許」的決策,已知的分發包裝器(
env、nice、nohup、stdbuf、timeout)會保存內部可執行檔路徑,而非包裝器路徑。如果解包不安全,則不會自動保存允許清單項目。 - 在處於允許清單模式的 Windows 節點主機上,透過
cmd.exe /c執行的 shell 包裝器需要核准(僅憑允許清單項目不會自動允許包裝器形式)。 system.notify支援--priority <passive|active|timeSensitive>和--delivery <system|overlay|auto>。- 節點主機會忽略
PATH覆蓋值,並移除危險的啟動/Shell 金鑰(DYLD_*、LD_*、NODE_OPTIONS、PYTHON*、PERL*、RUBYOPT、SHELLOPTS、PS4)。如果您需要額外的 PATH 條目,請設定節點主機服務環境(或將工具安裝在標準位置),而不要透過--env傳遞PATH。 - 在 macOS 節點模式下,
system.run受到 macOS 應用程式中執行核准的限制(Settings → Exec approvals)。 Ask/allowlist/full 的行為與無頭節點主機相同;拒絕的提示會傳回SYSTEM_RUN_DENIED。 - 在無頭節點主機上,
system.run受到執行核准的限制(~/.openclaw/exec-approvals.json)。
Exec 節點綁定
Section titled “Exec 節點綁定”當有多個節點可用時,您可以將 exec 綁定到特定節點。
這會設定 exec host=node 的預設節點(並可針對每個代理程式進行覆蓋)。
全域預設:
openclaw config set tools.exec.node "node-id-or-name"個別代理程式覆蓋:
openclaw config get agents.listopenclaw config set agents.list[0].tools.exec.node "node-id-or-name"取消設定以允許任何節點:
openclaw config unset tools.exec.nodeopenclaw config unset agents.list[0].tools.exec.node節點可以在 node.list / node.describe 中包含 permissions 對應,以權限名稱為鍵(例如 screenRecording、accessibility),值為布林值(true = 已授權)。
無頭節點主機(跨平台)
Section titled “無頭節點主機(跨平台)”OpenClaw 可以運行一個無介面節點主機(no UI),它連接到 Gateway WebSocket 並公開 system.run / system.which。這在 Linux/Windows 上很有用,或者用於在伺服器旁邊運行一個最小化的節點。
啟動它:
openclaw node run --host <gateway-host> --port 18789備註:
- 仍需要配對(Gateway 將顯示設備配對提示)。
- 節點主機將其節點 ID、權杖、顯示名稱和 Gateway 連接資訊存儲在
~/.openclaw/node.json中。 - 執行批准是通過
~/.openclaw/exec-approvals.json在本地強制執行的 (請參閱 Exec approvals)。 - 在 macOS 上,無介面節點主機預設在本地執行
system.run。設定OPENCLAW_NODE_EXEC_HOST=app以將system.run通過伴隨應用程式執行主機路由;添加OPENCLAW_NODE_EXEC_FALLBACK=0以要求應用程式主機,如果它不可用則關閉並失敗。 - 當 Gateway WS 使用 TLS 時,添加
--tls/--tls-fingerprint。
Mac 節點模式
Section titled “Mac 節點模式”- macOS 選單列應用程式作為節點連接到 Gateway WS 伺服器(因此
openclaw nodes …可針對此 Mac 運作)。 - 在遠端模式下,應用程式會為 Gateway 埠開啟 SSH 隧道並連接到
localhost。