夜雨聆风
OpenClaw 本地部署完整指南(设计院适配版)
设计院 IT 负责人、项目管理层、技术骨干必读 | 2026 年 4 月版
一、开篇:设计院在 AI 时代面临的三重困境
设计院正站在数字化转型的十字路口。
过去三年,大语言模型席卷工程行业,AI 辅助设计、规范查询、图纸审查正在从概念走向落地。大多数设计院的态度是:想用,但不敢用。
不敢用的核心原因有三个。
第一,数据安全。设计院的核心资产是 CAD 图纸、BIM 模型、工程计算书——这些都是商业机密。一个项目泄露,可能就是致命的商业风险。把这些数据送给云端 AI 服务?大多数设计院的合规部门会直接否决。
第二,内网隔离。多数设计院办公网与互联网物理隔离,或通过网闸严格管控。无法访问外部 API,意味着大多数云端 AI 方案根本无法落地。
第三,多专业协同。一个大型项目涉及建筑、结构、机电、景观多个专业,需要多个 Agent 分工协作。现有 AI 工具大多面向单用户场景,无法支撑设计院的协同工作流。
传统解法有两个极端:要么完全不用 AI,继续靠人工;要么冒着数据泄露风险把图纸上传到云端。
我们认为还有第三条路——本地部署 AI 助手。数据不出内网,AI 能力不打折,协同工作流也能支持。这正是 OpenClaw 试图解决的问题。
本文面向设计院 IT 负责人、项目管理层和技术骨干,系统性地回答:OpenClaw 本地部署是否适合你的设计院,如何落地,值不值得。
二、核心问题:本地部署 vs 云端,到底怎么选?
2.1 八维对比
我们从八个关键维度对比两种方案:
| 维度 | 本地部署 | 云端方案 | 结论 |
|---|---|---|---|
| 数据安全性 | 🔴 完全可控,图纸不离场 | 🟡 依赖厂商信任,存在泄露风险 | 本地胜 |
| 初始成本 | 🔴 服务器+运维,高门槛 | 🟢 按需付费,零门槛 | 云端胜 |
| 运维复杂度 | 🔴 需专业 IT 能力 | 🟢 厂商托管,省心 | 云端胜 |
| 响应速度 | 🟢 内网延迟极低 | 🟡 依赖网络质量 | 本地胜 |
| 合规适配 | 🔴 完全满足等保/分级要求 | 🟡 需评估厂商资质 | 本地胜 |
| 模型更新 | 🔴 需手动升级 | 🟢 厂商自动更新 | 云端胜 |
| 多用户并发 | 🟡 取决于硬件配置 | 🟢 云端弹性扩展 | 云端胜 |
| 离线可用性 | 🔴 完全离线运行 | 🔴 必须联网 | 本地胜 |
本地部署在数据安全、合规、离线运行、内网响应速度四个维度占优;云端在初始成本、运维便捷性、弹性扩展占优。没有绝对的好坏,只有场景的匹配。
2.2 三类推荐路径
🔴 强烈建议本地部署(满足任一即选本地)
- 项目涉及涉密/机密数据,或关键信息基础设施(关基)项目
- 设计院规模 100 人以上,已有专职 IT 团队(≥3 人)
- 已有私有化模型部署基础设施
- 对自主可控有明确要求,不依赖外部服务
🟢 强烈建议云端订阅
- 30 人以下小团队,无专职 IT 人员
- 以非涉密民用项目为主,数据敏感度低
- 需要快速验证 AI 应用可行性,POC 阶段
- 预算有限,只能按年运营费用支出,无法申请资本性支出
🟡 需要详细评估(具体情况具体分析)
- 30-100 人中型设计院,有一定 IT 能力但不够强
- 需要在成本与数据安全之间做权衡
- 多地分支机构协同,总部与分支需求不同
2.3 三年 TCO 成本对比
以 50 人中型设计院为例,3 年总体拥有成本(TCO)估算如下:
本地部署 3 年 TCO ≈ 硬件¥10.8万 + 实施¥9.5万 + 运维¥48.9万 ≈ ¥69万
云端订阅(专业版)3 年 TCO ≈ ¥10万/年 × 3年 ≈ ¥30万
本地部署的 3 年 TCO 大约是云端的2-3 倍(中型规模)。规模越小,差距越大;规模越大,差距越小。
快速决策树:
第一步:项目是否涉及涉密/关基数据?
├─ 是 ──► 本地部署
└─ 否 ──► 第二步:团队规模多大?
├─ <30人 ──► 云端订阅
├─ 30-100人 ──► 评估 IT 能力
│ ├─ 有专职 IT ≥3人 ──► 可选本地
│ └─ IT 能力弱 ──► 云端订阅
└─ >100人 ──► 本地部署或混合架构
2.4 混合架构:不想二选一?
对于纠结的设计院,“核心数据本地 + 通用能力云端”的混合架构是务实的折中:
┌─────────────────────────────────────┐
│ 设计院内网环境 │
│ OpenClaw Gateway(本地) │
│ + 本地知识库(RAG) │
│ + 涉密项目数据处理 │
└────────────────┬────────────────────┘
│ 脱敏后数据(仅通用内容)
▼
┌───────────────┐
│ 云端 API │
│ (通用模型) │
└───────────────┘
数据流向完全可控:涉密项目走本地知识库,通用问答走云端 API。项目数据始终不出内网。
三、技术可行性:OpenClaw 能满足设计院需求吗?
3.1 架构概览
OpenClaw 是一个本地运行的 AI 助手框架,采用Gateway + Agent双层架构:
┌─────────────────────────────────────┐
│ OpenClaw Gateway │ ← 控制平面:认证、路由、策略
│ (默认端口 18789) │
│ Node.js / Docker 运行 │
└────────────────┬────────────────────┘
│
├── Agent 1(项目总监)
├── Agent 2(建筑顾问)
├── Agent 3(结构顾问)
└── Agent N(知识库查询)
│
▼
┌───────────────────────┐
│ Workspace(工作区) │ ← ~/.openclaw/workspace
│ 配置文件(openclaw.json)│ ← 认证、工具、记忆
└───────────────────────┘
| 组件 | 职责 |
|---|---|
| Gateway | WebSocket 网关,负责认证、路由、策略执行 |
| Agent | 执行平面,通过工具访问文件、代码、网络 |
| Workspace | 工作目录,存放项目资料、对话记忆 |
| Channel | 接入层,支持企业微信、钉钉、飞书、Telegram 等 |
3.2 内网隔离:完全可行
这是设计院最关心的问题。OpenClaw 支持完全离线部署,关键在于模型服务方案的选择:
| 方案 | 可行性 | 说明 |
|---|---|---|
| 外部 API(OpenAI/Anthropic) | ❌ | 需要访问外网,设计院通常不可用 |
| 内网 Ollama + 本地模型 | ✅ 推荐 | 在内网部署 Ollama 服务,OpenClaw 通过 API 对接 |
| LM Studio 本地推理 | ✅ 可行 | 另一种本地模型服务方案 |
| 混合调用(通用云端 + 涉密本地) | ✅ 推荐 | 敏感任务走本地,通用任务走云端 |
推荐的本地模型包括:
- qwen2.5-coder:14b(中文友好,代码能力强,适合工程图纸相关任务)
- deepseek-coder-v2(工程文档分析、技术报告撰写)
- qwen2.5:7b(通用问答、轻量任务)
配置方式很简单,在.openclaw/openclaw.json中指定本地模型端点:
{
"agents": {
"defaults": {
"model": {
"primary": "openai/local-model"
}
}
}
}
环境变量方式:
export OPENAI_API_BASE="http://192.168.1.100:11434/v1"
export OPENAI_API_KEY="local"
3.3 文件安全:多层保护机制
图纸安全是设计院的核心诉求。OpenClaw 提供四层文件保护:
第一层:工作区隔离(workspaceOnly)
{
"tools": {
"fs": {
"workspaceOnly": true
}
}
}
Agent 只能访问工作区目录,无法读取其他系统路径。图纸文件建议存放在工作区内。
第二层:沙箱模式(Sandbox)
{
"agents": {
"defaults": {
"sandbox": {
"mode": "desktop"
}
}
}
}
限制 Agent 对系统的访问权限,防止越权操作。
第三层:工具禁用清单
{
"nodes": {
"denyCommands": [
"camera.snap",
"screen.record",
"fs.delete",
"exec"
]
}
}
禁止危险命令,防止 Agent 执行未授权操作。
第四层:审计日志
{
"logging": {
"level": "info",
"audit": true
}
}
所有文件操作留痕,支持事后追溯。
3.4 多用户与协同:支撑设计院工作流
OpenClaw 支持在同一 Gateway 实例下配置多个 Agent,每个 Agent 面向不同专业:
{
"agents": {
"list": [
{
"id": "project-manager",
"name": "项目总监",
"workspace": "/data/openclaw/agents/pm",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": false }
}
},
{
"id": "architect",
"name": "建筑顾问",
"workspace": "/data/openclaw/agents/arch",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": false }
}
},
{
"id": "structure",
"name": "结构顾问",
"workspace": "/data/openclaw/agents/struct",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": true, "allowedCommands": ["python3"] }
}
}
]
}
}
典型协同场景:
| 场景 | Agent 角色 | 能力范围 |
|---|---|---|
| 项目启动会 | 项目总监 Agent | 任务分解、会议纪要生成 |
| 规范查询 | 知识库 Agent | 规范条文检索、摘要 |
| 图纸审查 | BIM 审查 Agent | DWG 标注读取、问题记录 |
| 工程计算 | 结构计算 Agent | 调用本地计算程序 |
| 报告编写 | 文档 Agent | 多格式输出(Word/PDF) |
并发能力参考:单 Gateway 实例可支持 20-50 个并发会话,建议 10-20 个活跃用户共享一个实例。超大规模设计院可按专业所室拆分多实例。
四、三档配置方案:按需选择
4.1 入门档(≤10 人 / 团队试点)
适用场景:5 人以下团队验证、小型专业所室试点、个人工程助手。
硬件规格:8 核 CPU / 32GB RAM / 512GB SSD + 1TB 数据盘,预算约¥12,000。
部署方式:Docker 单容器,一键启动。
docker run -d \
--name openclaw-gateway \
--restart unless-stopped \
-p 18789:18789 \
-v /data/openclaw/config:/home/node/.openclaw \
-v /data/openclaw/workspace:/home/node/.openclaw/workspace \
-e OPENCLAW_GATEWAY_BIND=lan \
ghcr.io/openclaw/openclaw:latest
验收标准:curl http://localhost:18789/healthz返回{"status":"ok"};Ollama 模型正常返回推理结果。
部署工期:1 天内可完成。
4.2 标准档(5-20 人 / 专业所室)
适用场景:多专业协同设计、日常项目协作、需要多用户并发访问。
硬件规格:8-16 核 CPU / 16-32GB RAM / 100GB SSD + 500GB SSD 数据盘,建议配置NVIDIA T4 / RTX 3060GPU 以加速 Ollama 推理,预算约¥30,000-55,000。
部署方式:Docker Compose + systemd 守护进程,开机自启。
docker-compose.yml 关键配置:
services:
openclaw-gateway:
image: ghcr.io/openclaw/openclaw:latest
container_name: openclaw-gateway
restart: unless-stopped
ports:
- "18789:18789"
volumes:
- /data/openclaw/config:/home/node/.openclaw
- /data/openclaw/workspace:/home/node/.openclaw/workspace
- /mnt/nas/projects:/mnt/nas/projects:ro # 图纸只读挂载
healthcheck:
test: ["CMD", "curl", "-fsS", "http://localhost:18789/healthz"]
interval: 30s
retries: 3
systemd 守护配置(/etc/systemd/system/openclaw-gateway.service):
[Unit]
Description=OpenClaw Gateway
After=network.target docker.service
Requires=docker.service
[Service]
Type=oneshot
RemainAfterExit=yes
WorkingDirectory=/opt/openclaw
ExecStart=/usr/bin/docker compose -f /opt/openclaw/docker-compose.yml up -d
ExecStop=/usr/bin/docker compose -f /opt/openclaw/docker-compose.yml down
Restart=on-failure
RestartSec=10s
[Install]
WantedBy=multi-user.target
Nginx 反向代理(统一认证):
server {
listen 80;
server_name openclaw.internal.yourcompany.com;
location / {
auth_basic "OpenClaw 访问";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://127.0.0.1:18789;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_read_timeout 86400;
}
}
验收标准:5 人同时发起请求服务无异常;容器重建后配置和工作区数据完整保留;openclaw security audit无高危告警。
部署工期:2-3 天。
4.3 高级档(20 人以上 / 院级集中部署)
适用场景:20 人以上集中部署、多所室共享资源、对稳定性和数据安全有高要求。
硬件规格:16 核+ CPU / 32GB+ RAM / 200GB SSD RAID 1 + 1TB+ SSD RAID 5 +NVIDIA A10 / T4 GPU,预算约¥140,000-280,000。
架构要点:
- 多 Gateway 实例:按专业所室物理隔离,互不干扰
- 负载均衡层:Nginx upstream 轮询 + 健康检查
- 共享存储:NAS 或 GlusterFS,按团队分配目录权限
- Ollama 推理集群:独立 GPU 服务器,内网调用
部署架构图:
设计院核心网络
│
├── 负载均衡层(Nginx / HAProxy)
│ │
│ ┌────┼────┬─────────┐
│ ▼ ▼ ▼
│ GW-1 GW-2 GW-3
│ (一所) (二所) (三所)
│ │ │ │
│ └─────────┼─────────┘
│ ▼
│ 共享存储(NAS)
│ 配置文件 + 工作区
│ │
│ Ollama 推理集群(GPU)
备份策略(必须):
#!/bin/bash
# /opt/openclaw/scripts/backup.sh
BACKUP_DIR="/mnt/backup/openclaw"
DATE=$(date +%Y%m%d_%H%M%S)
tar -czf ${BACKUP_DIR}/config_${DATE}.tar.gz -C /data/openclaw config/
rsync -a --exclude='.tmp' --exclude='node_modules' \
/data/openclaw/workspace/ ${BACKUP_DIR}/workspace_incremental_${DATE}/
# 保留最近 30 天
find ${BACKUP_DIR} -name "*.tar.gz" -mtime +30 -delete
crontab配置(每日凌晨 2 点):
0 2 * * * /opt/openclaw/scripts/backup.sh >> /var/log/openclaw-backup.log 2>&1
验收标准:模拟主节点故障,自动恢复时间 < 30s;从备份恢复后服务功能完全正常;通过等保三级测评。
部署工期:5-7 天。
五、部署实战指南:8 大阶段检查清单
以下清单可直接照着做,每个阶段完成后打勾。
阶段一:部署前准备(1-3 天)
硬件与网络:
- [ ] 服务器到位,CPU 8 核以上,推荐 16 核
- [ ] 内存 32GB 以上,推荐 64GB
- [ ] 系统盘 50GB SSD 以上,数据盘按需配置
- [ ] 网络规划:确认服务器 IP,开放 18789 端口(仅内网)
- [ ] 防火墙规则:禁止 18789 端口对公网开放
软件环境:
- [ ] 安装 Ubuntu 22.04 LTS / Debian 12
- [ ] 安装 Docker + Docker Compose
- [ ] 验证 Docker 版本:
docker --version
创建专用用户:
sudo useradd -m -s /bin/bash openclaw
sudo usermod -aG docker openclaw
sudo mkdir -p /data/openclaw
sudo chown -R openclaw:openclaw /data/openclaw
sudo chmod -R 700 /data/openclaw
模型服务准备(内网隔离场景):
- [ ] 在内网服务器部署 Ollama(参考https://ollama.com)
- [ ] 拉取适合工程场景的模型:
ollama pull qwen2.5-coder:14b - [ ] 验证 API 可用:
curl http://localhost:11434/api/tags
阶段二:安装 OpenClaw(1 天)
方式一:Docker 部署(推荐,适合内网隔离)
在有网环境拉取镜像,导出传输到内网:
# 有网环境执行
docker pull ghcr.io/openclaw/openclaw:latest
docker save -o openclaw-latest.tar ghcr.io/openclaw/openclaw:latest
# 传输 tar 文件到内网服务器后
docker load -i openclaw-latest.tar
创建docker-compose.yml:
mkdir -p /data/openclaw && cd /data/openclaw
cat > docker-compose.yml << 'EOF'
services:
openclaw:
image: ghcr.io/openclaw/openclaw:latest
container_name: openclaw-gateway
restart: unless-stopped
ports:
- "18789:18789"
volumes:
- ./config:/home/node/.openclaw
- ./workspace:/home/node/.openclaw/workspace
environment:
- TZ=Asia/Shanghai
user: "1000:1000"
EOF
启动并验证:
docker-compose up -d
curl http://localhost:18789/healthz
方式二:安装脚本(适合互联网可达环境)
curl -fsSL https://openclaw.ai/install.sh | bash
openclaw onboard
阶段三:基础配置(1 天)
修改默认 Token(必须):
openclaw gateway token generate
认证配置:
openclaw config set gateway.mode local
openclaw config set gateway.bind lan
openclaw config set gateway.auth.mode token
openclaw gateway token generate
模型配置(内网 Ollama):
export OPENAI_API_BASE="http://192.168.1.100:11434/v1"
export OPENAI_API_KEY="local"
或在配置文件中:
{
"agents": {
"defaults": {
"model": {
"primary": "openai/your-local-model"
}
}
}
}
通道配置(按需):
# 企业微信
openclaw config set channels.wechatwork.enabled true
openclaw config set channels.wechatwork.corpId "YOUR_CORP_ID"
# 钉钉
openclaw config set channels.dingtalk.enabled true
openclaw config set channels.dingtalk.botToken "YOUR_TOKEN"
阶段四:安全加固(必须,P0 优先级)
🔴 立即执行(部署即配置):
- 修改默认 Token:
openclaw gateway token rotate - 开启认证:
openclaw config set gateway.auth.mode token - 限制绑定地址:
openclaw config set gateway.bind lan(禁止公网) - 运行安全审计:
openclaw security audit和openclaw security audit --fix
🟡 生产环境推荐配置:
{
"tools": {
"fs": {
"workspaceOnly": true
}
},
"agents": {
"defaults": {
"sandbox": {
"mode": "desktop"
}
}
},
"nodes": {
"denyCommands": [
"camera.snap",
"screen.record",
"fs.delete",
"exec"
]
},
"channels": {
"wechatwork": {
"dmPolicy": "allowlist",
"allowFrom": ["信任的用户ID列表"]
}
},
"logging": {
"level": "info",
"audit": true
}
}
🔵 高安全场景(涉密项目):
- 配置 Nginx HTTPS 反向代理
- 定期 Token 轮换(建议每 90 天)
- 开启日志审计,配置 ELK 日志集中存储
阶段五:多 Agent 配置(按需)
按设计院组织架构配置多 Agent 分工。示例:建筑、结构、机电三个专业 Agent:
{
"agents": {
"list": [
{
"id": "architect",
"name": "建筑顾问",
"workspace": "/data/openclaw/agents/arch",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": false }
}
},
{
"id": "structure",
"name": "结构顾问",
"workspace": "/data/openclaw/agents/struct",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": true, "allowedCommands": ["python3"] }
}
},
{
"id": "mep",
"name": "机电顾问",
"workspace": "/data/openclaw/agents/mep",
"tools": {
"fs": { "workspaceOnly": true },
"exec": { "enabled": false }
}
}
]
}
}
阶段六:备份与恢复(上线前配置)
自动备份脚本:
#!/bin/bash
# /opt/openclaw/scripts/backup.sh
BACKUP_DIR="/backup/openclaw"
DATE=$(date +%Y%m%d_%H%M%S)
mkdir -p $BACKUP_DIR
tar -czf $BACKUP_DIR/openclaw_${DATE}.tar.gz \
/data/openclaw/config/openclaw.json \
/data/openclaw/workspace
find $BACKUP_DIR -name "openclaw_*.tar.gz" -mtime +30 -delete
echo "Backup completed: openclaw_${DATE}.tar.gz"
恢复步骤:
# 1. 停止服务
docker-compose down
# 2. 解压备份
tar -xzf /backup/openclaw/openclaw_20260315_120000.tar.gz -C /
# 3. 重启服务
docker-compose up -d
# 4. 验证
curl http://localhost:18789/healthz
阶段七:运维监控(持续)
日常检查命令:
# 服务状态
openclaw gateway status
# 健康检查
openclaw gateway health
# 用量统计
openclaw gateway usage-cost --days 7
# 实时日志
docker logs -f openclaw-gateway
定期维护任务:
| 任务 | 频率 | 命令 |
|---|---|---|
| 安全审计 | 每月 | openclaw security audit –fix |
| 日志清理 | 每周 | docker system prune |
| 备份验证 | 每月 | 解压测试备份完整性 |
| 版本检查 | 每季度 | openclaw –version |
| 配置审计 | 每季度 | openclaw security audit –deep |
| 灾难恢复演练 | 每年 | 模拟故障+恢复流程 |
阶段八:部署验收(上线前)
功能验收:
- [ ] Gateway 服务正常启动
- [ ] WebSocket 连接正常
- [ ] Token 认证生效
- [ ] 文件访问限制生效(workspaceOnly)
- [ ] 多 Agent 配置生效
- [ ] 通道(企业微信/钉钉)连接正常
安全验收:
- [ ]
openclaw security audit无高危告警 - [ ] 未经授权无法访问
- [ ] Token 已修改(非默认)
- [ ] 绑定地址正确(仅内网)
- [ ] 日志正常记录
性能验收:
- [ ] 并发响应时间 < 5s
- [ ] 无内存泄漏(观察 24 小时)
- [ ] CPU 占用正常
六、成本账:3 年 TCO 详细拆解
6.1 三年 TCO 对比总表
| 规模 | 本地部署 | 云端基础版 | 云端专业版 |
|---|---|---|---|
| 小型(15 人) | ¥109 万 | ¥4.5 万 | ¥9 万 |
| 中型(50 人) | ¥252 万 | ¥15 万 | ¥30 万 |
| 大型(150 人) | ¥581 万 | ¥45 万 | ¥90 万 |
关键数据:本地部署 3 年 TCO 约为云端订阅的 6-24 倍(规模越大,差距越小)。
6.2 本地部署成本拆解(中型 50 人设计院为例)
硬件投入:¥108,000
实施费用:¥95,000(需求调研+安装调试+培训+试运行)
3年运维:
├── 人力成本 ¥14.4万/年 × 3 = ¥43.2万(占70-80%)
├── 能耗成本 ¥0.6万/年 × 3 = ¥1.8万
└── 维保备件 ¥1.3万/年 × 3 = ¥3.9万
─────────────────────────────────────────
3年TCO合计:约 ¥252万
人力成本是最大单项,占比约 70-80%。这也是为什么有 3 人以上专职 IT 团队是考虑本地部署的重要前提。
6.3 快速估算公式
小型(≤30人):3年TCO ≈ 10万 + (8~10万/年 × 使用年数)
中型(≤100人):3年TCO ≈ 20万 + (15~18万/年 × 使用年数)
大型(≤300人):3年TCO ≈ 48万 + (30~35万/年 × 使用年数)
年云费 ≈ 用户数 × 单用户年费(¥990 / ¥1,990 / ¥3,990)
6.4 什么时候选本地更划算?
在以下条件下,本地部署的长期成本优势会显现:
- 使用周期 > 5 年:设备折旧完成后,运维成本下降,规模效应显现
- 用户规模 > 300 人:人均运维成本被摊薄
- 有现成基础设施:已有服务器、NAS、GPU,无需额外采购
- 数据合规溢价:涉密/关基项目,云端方案根本无法使用,本地部署的价值无法用金钱衡量
一句话结论:30 人以下小团队无脑选云端;涉密/关基项目无脑选本地;30-100 人中型设计院需要算清楚 ROI 再决定。
七、合规要点:等保、数据安全、设计院保密要求
7.1 网络安全等级保护(等保)
设计院常见定级建议:
| 系统类型 | 推荐定级 |
|---|---|
| 通用办公系统 | 二级 |
| 涉及核心设计数据、项目资料的系统 | 三级 |
| 涉及重要工程数据或保密项目 | 三级或以上 |
本地部署 OpenClaw 在等保合规上的优势:
- 完全满足数据本地化存储要求(《数据安全法》第 36 条)
- 可配置细粒度访问控制(二级、三级均支持)
- 支持日志审计留痕(三级要求不可篡改)
- 可满足网络分段和边界防火墙要求
等保二级关键检查项:
- 边界防火墙部署
- 身份鉴别(口令+复杂度)
- 访问控制(基于角色的权限管理)
- 数据本地备份
- 定期漏洞扫描
等保三级额外要求:
- 双因素认证(MFA)
- IDS/IPS 入侵检测
- 日志集中存储+防篡改
- 异地备份能力
- 入侵防范(APT 攻击检测)
7.2 数据安全法合规要点
| 要求 | OpenClaw 适配方案 |
|---|---|
| 数据分类分级 | 明确工作区目录结构,按项目/专业分级存储 |
| 数据本地化存储 | 完全本地部署,数据不离开内网 |
| 禁止数据出境 | 内网隔离天然满足 |
| 应急响应机制 | 配置日志审计+备份机制 |
| 签订数据安全协议 | 与实施服务商签订 NDA |
7.3 设计院保密管理适配
核心保护内容:
- 工程项目图纸(.dwg / .dxf)
- BIM 模型(.rvt / .ifc)
- 工程计算书、勘察报告
- 客户信息、项目报价
OpenClaw 保密加固建议:
- 物理隔离:完全内网部署,不断网闸
- workspaceOnly:强制 Agent 仅访问工作区目录
- 工具禁用:
denyCommands禁止fs.delete、exec、camera.snap、screen.record - 只读挂载:图纸目录以只读方式挂载到容器
- 审计日志:开启完整操作记录,配置日志保留 90-180 天
- Token 轮换:每 90 天轮换一次访问 Token
7.4 合规检查清单(部署后必查)
网络安全:
- [ ] 18789 端口仅对内网 IP 开放
- [ ] 已配置 Token 强密码(非默认)
- [ ] 已启用
openclaw security audit --fix
数据安全:
- [ ]
workspaceOnly: true已配置 - [ ]
sandbox.mode: desktop已配置 - [ ] 危险命令(exec、fs.delete)已在
denyCommands中禁用 - [ ] 日志审计已开启
备份与恢复:
- [ ] 备份脚本已加入 crontab
- [ ] 备份文件已验证可恢复
- [ ] 灾难恢复文档已编制
人员管理:
- [ ] 系统管理员权限已分配,职责分离
- [ ] 关键岗位人员已签署保密协议
- [ ] 人员离岗时权限已及时回收
八、常见问题 FAQ(精选 18 个)
Q1:安装后openclaw命令找不到
原因:PATH 未包含全局 bin 目录,或 Node.js 安装问题。
解决步骤:
# 1. 确认 Node.js 安装
node -v
# 2. 查看全局包路径
npm prefix -g
# 3. 添加到 PATH
echo 'export PATH="$(npm prefix -g)/bin:$PATH"' >> ~/.zshrc
source ~/.zshrc
# 4. 验证
openclaw --version
Q2:Gateway 无法启动,提示 “gateway.mode is missing”
原因:配置文件缺少必要字段。
解决:
# 方式一:交互式设置
openclaw onboard
# 方式二:手动设置
openclaw config set gateway.mode local
# 方式三:临时启动
openclaw gateway --allow-unconfigured
Q3:如何让 Gateway 支持局域网访问?
# 1. 设置为 LAN 模式
openclaw config set gateway.mode remote
openclaw config set gateway.bind lan
# 2. 必须配置认证!
openclaw config set gateway.auth.mode token
openclaw gateway token generate
# 3. 重启 Gateway
openclaw gateway restart
⚠️安全警告:绑定到 LAN 前必须配置认证,否则内网任何人都可访问!
Q4:如何限制 Agent 的文件访问权限?
三种方式叠加使用:
{
"tools": {
"fs": {
"workspaceOnly": true
}
},
"nodes": {
"denyCommands": ["fs.delete", "exec", "camera.snap"]
},
"agents": {
"defaults": {
"sandbox": {
"mode": "desktop"
}
}
}
}
Q5:如何配置 Token 认证?
# 生成新 Token
openclaw gateway token generate
# 查看当前 Token
openclaw config get gateway.auth.token
# 轮换 Token(定期执行)
openclaw gateway token rotate
建议每 90 天轮换一次。
Q6:openclaw security audit显示警告如何处理?
# 基础审计
openclaw security audit
# 自动修复(推荐)
openclaw security audit --fix
# 深度审计
openclaw security audit --deep
常见警告及处理:
| 警告 | 严重性 | 修复方式 |
|---|---|---|
| fs.config_include.perms_group_readable | warn | chmod 600 ~/.openclaw/openclaw.json |
| tools.exec.host_sandbox_no_sandbox_defaults | warn | 配置沙箱模式 |
| security.exposure.open_channels_with_exec | critical | 设置 dmPolicy: allowlist |
| security.trust_model.multi_user_heuristic | warn | 确认多用户架构设计 |
Q7:内网环境如何使用本地模型(Ollama)?
步骤一:在内网服务器部署 Ollama(参考https://ollama.com)
步骤二:拉取模型
ollama pull qwen2.5-coder:14b
ollama pull deepseek-coder-v2
步骤三:配置 OpenClaw 使用本地模型
export OPENAI_API_BASE="http://你的Ollama服务器:11434/v1"
export OPENAI_API_KEY="local"
或在配置文件中指定:
{
"agents": {
"defaults": {
"model": {
"primary": "openai/qwen2.5-coder:14b"
}
}
}
}
Q8:Docker 容器频繁重启如何解决?
# 1. 查看重启原因
docker logs --tail 100 openclaw-gateway
# 2. 检查资源
docker stats
# 3. 增加内存限制
docker update --memory 4g openclaw-gateway
# 4. 检查 OOM killer
dmesg | grep -i "killed process"
最常见原因是内存不足导致 OOM Kill。
Q9:Gateway 响应慢如何排查?
# 1. 检查系统资源
docker stats
top -bn1 | head -20
# 2. 检查模型响应时间
openclaw gateway usage-cost
# 3. 检查网络(如使用云端 API)
curl -w "%{time_total}" https://api.openai.com/v1/models
响应慢通常不是 Gateway 本身的问题,而是模型推理的延迟。
Q10:配置文件损坏如何恢复?
# OpenClaw 会
OpenClaw 会自动保留上次正确配置:
```bash
# 查看损坏文件
ls -la ~/.openclaw/*.clobbered*
# 自动修复
openclaw doctor --fix
# 手动恢复
cp ~/.openclaw/openclaw.json.last-known-good ~/.openclaw/openclaw.json
Q11:如何升级 OpenClaw?
# Docker 方式(推荐)
docker-compose pull
docker-compose up -d
# npm 方式
npm update -g openclaw@latest
# 验证
openclaw --version
openclaw doctor
生产环境建议在测试环境先验证新版本兼容性。
Q12:如何通过 Nginx 配置 HTTPS?
server {
listen 443 ssl http2;
server_name openclaw.yourcompany.com;
ssl_certificate /etc/ssl/certs/openclaw.crt;
ssl_certificate_key /etc/ssl/private/openclaw.key;
location / {
proxy_pass http://127.0.0.1:18789;
proxy_http_version 1.1;
proxy_set_header Upgrade <!--MATH_PH_1-->host;
proxy_read_timeout 86400;
client_max_body_size 100M; # 设计院大文件场景
}
}
Q13:设计院涉密项目能用 OpenClaw 吗?
可以,需满足以下条件:
- ✅ 完全内网物理隔离部署,不通外网
- ✅ 关闭所有外部通道(企业微信/钉钉等)
- ✅ 禁用 exec、fs.delete 等高风险工具
- ✅ 配置
workspaceOnly: true限制 - ✅ 开启完整操作审计日志
- ✅ 使用本地 Ollama 模型,完全离线推理
- ⚠️ 图纸文件只读挂载,Agent 无法修改原始文件
Q14:OpenClaw 能读取 CAD 图纸内容吗?
有限支持:
- ✅ 可通过工具调用外部程序读取 DWG 标注
- ✅ 可通过 RAG 提取 PDF/DWG 文本内容
- ❌ 无法直接解析 DWG 二进制结构
建议方案:
OpenClaw Agent
├── Python 脚本读取 DWG 标注文字
├── BIM 工具提取 IFC 属性
└── RAG 查询图审意见和标注
对于复杂的 CAD 操作,建议用 Python 脚本预处理后,OpenClaw 处理分析结果。
Q15:多专业协同场景如何设计 Agent 分工?
| 专业 | Agent 职责 | 工具配置 |
|---|---|---|
| 项目管理 | 任务分解、会议纪要、进度跟踪 | 无 exec,workspaceOnly |
| 建筑 | 方案比选、规范查询、面积统计 | 无 exec,workspaceOnly |
| 结构 | 计算调用、构件配筋、裂缝分析 | 可 exec,Python/R |
| 机电 | 系统设计、设备选型 | 无 exec,workspaceOnly |
| 知识库 | 规范检索、政策解读、技术档案 | 无 exec,workspaceOnly |
注意:AI 生成的配筋结果、结构分析结论必须由专业工程师审核确认,不得直接用于施工图。
Q16:如何集成企业微信或钉钉?
企业微信:
openclaw config set channels.wechatwork.enabled true
openclaw config set channels.wechatwork.corpId "YOUR_CORP_ID"
openclaw config set channels.wechatwork.corpSecret "YOUR_SECRET"
openclaw config set channels.wechatwork.token "YOUR_TOKEN"
openclaw config set channels.wechatwork.encodingAesKey "YOUR_AES_KEY"
钉钉:
openclaw config set channels.dingtalk.enabled true
openclaw config set channels.dingtalk.botToken "YOUR_TOKEN"
openclaw config set channels.dingtalk.botSecret "YOUR_SECRET"
配置后重启 Gateway:
openclaw gateway restart
Q17:备份和恢复怎么做?
备份:
BACKUP_DIR="/backup/openclaw"
DATE=<!--MATH_PH_2-->BACKUP_DIR/backup_${DATE}.tar.gz \
~/.openclaw/openclaw.json \
~/.openclaw/workspace \
~/.openclaw/sessions
恢复:
tar -xzf backup_20260315.tar.gz -C ~/
openclaw gateway restart
建议用 crontab 自动化每日备份。
Q18:如何通过 Tailscale 实现远程访问(不暴露公网)?
# 1. 安装 Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
# 2. 登录(需要外网访问一次)
tailscale up
# 3. 启动 Gateway 并启用 Tailscale
openclaw gateway --tailscale serve
# 或 funnel 模式(公网 HTTPS 访问)
openclaw gateway --tailscale funnel
Tailscale 的优势是:不需要公网 IP,不需要配置端口映射,所有流量加密,设计院不需要为此开放防火墙。
九、总结与建议:不同场景下的推荐路径
9.1 一句话总结
OpenClaw 本地部署在技术上是完全可行的,特别适合有技术能力、数据敏感度高、有长期使用规划的设计院。云端订阅适合小规模、快速启动、预算有限的场景。
9.2 四类场景推荐
| 您的设计院 | 推荐方案 | 理由 |
|---|---|---|
| 涉密/军工类 | 本地部署 ✅✅✅ | 合规要求,数据安全优先,本地部署是唯一选择 |
| 大型综合甲级(100人+) | 本地部署或混合架构 ✅✅ | 用量大,长期成本更低,自主可控 |
| 中型设计院(30-100人) | 详细评估 ROI 后决定 ⚠️ | 需要平衡成本与能力,建议试点后决定 |
| 小型设计团队(30人以下) | 云端订阅 ✅✅✅ | 快速启动,零运维,成本最低 |
9.3 落地路线图建议
第一步(1-2 周):验证阶段
- 在一台服务器上部署入门档
- 接入企业微信/钉钉,选 3-5 人试点
- 验证 AI 能力是否满足设计院场景需求
第二步(1 个月):安全加固
- 按清单完成安全配置
- 配置 workspaceOnly + 沙箱
- 建立备份机制
第三步(3 个月):规模推广
- 按专业所室扩展 Agent 配置
- 接入内网 Ollama 模型
- 建立运维规范和 SOP
第四步(持续优化):深度集成
- 与设计软件(AutoCAD/Revit)集成
- 搭建内部知识库(RAG)
- 评估是否需要升级到标准档/高级档
9.4 关键提醒
- 数据安全永远第一:涉密项目不要碰云端,老老实实本地部署
- 认证配置不能省:绑定 LAN 前必须开 Token 认证,这是底线
- 备份是生命线:任何时候都要有可恢复的备份,灾备演练要定期做
- 先试点再推广:不要一上来全院铺开,先在 5-10 人团队验证
- 人是核心:再好的工具也需要人来用,IT 团队的培训和技术积累是关键
参考链接
- OpenClaw 官方文档:https://docs.openclaw.ai
- OpenClaw 安装脚本:
curl -fsSL https://openclaw.ai/install.sh | bash - Gateway 配置参考:https://docs.openclaw.ai/gateway/configuration
- Gateway 安全指南:https://docs.openclaw.ai/gateway/security
- Ollama 本地模型:https://ollama.com
- GitHub Issues:https://github.com/openclaw/openclaw/issues
关于本文档
本文档基于 OpenClaw 官方文档、社区实践和内部测试经验编写。内容适用于 OpenClaw 2026.4 及以上版本。具体部署方案应根据设计院实际情况调整,建议在生产部署前完成安全评估和合规审查。