openclaw onboard sowie openclaw doctor, um Pfade, Abhängigkeiten und Gateway-Parameter zu prüfen. Ziel dieses Textes ist kein Konzeptüberblick, sondern eine nachvollziehbare Betriebsanleitung: CI- oder Agent-Alerts zuverlässig in Telegram und Slack ausliefern, Webhooks verifizieren und typische „keine Nachricht“-Fälle eingrenzen. Ergänzend: Gateway-Healthcheck & LaunchAgent, Gateway-Härtung, Git- & Docker-Pull auf Remote-Mac; Angebotsseiten: Startseite, Hilfe.
① Vorab-Prüfung: Version, Port, Loopback vs. Reverse-Proxy
Starten Sie immer mit einer reproduzierbaren Laufzeit: Node 22+ (Major-Drift vermeiden), einheitlicher npm-Prefix für globale Binaries und ein fester Dienstbenutzer auf dem Remote Mac. Nach der offiziellen Installation (typisch npm install -g openclaw@latest oder gleichwertiges Install-Skript Ihrer Doku) sollten openclaw onboard und openclaw doctor ohne harte Fehler durchlaufen – notieren Sie Warnungen zu fehlenden Umgebungsvariablen oder Ports.
which openclaw
openclaw doctor
Gateway-Bindung: Für Nachrichtenkanäle spielt die Erreichbarkeit des Gateways nur indirekt eine Rolle (der Prozess muss ausgehend HTTPS zu Telegram/Slack schaffen), aber eingehende Webhooks von CI-Systemen brauchen einen stabilen Endpunkt. Entscheidungsregel: Loopback (127.0.0.1) plus SSH-Tunnel oder interner Reverse-Proxy mit TLS-Terminierung vs. direktes 0.0.0.0 nur mit strikter Firewall und IP-Allowlist. Prüfen Sie den konfigurierten Port (häufig in openclaw.json oder Umgebungsvariablen wie OPENCLAW_GATEWAY_PORT – Namen an Ihre Version anpassen) und Kollisionen:
curl -sS -o /dev/null -w "%{http_code}\n" http://127.0.0.1:PORT/health
Proxy und Split-Tunnel: setzen Sie HTTPS_PROXY, NO_PROXY und ggf. NODE_EXTRA_CA_CERTS konsistent in der LaunchAgent-plist – identisch zu den Hinweisen in unserem Sicherheitsartikel.
| Ansatz | Steuerung / Betrieb | Typische Trade-offs |
|---|---|---|
| Selbst gehostetes Gateway auf Remote-Mac | Volle Kontrolle über Token, Logs, Bind-Adresse, launchd |
Sie verantworten Updates, TLS, Rate-Limits und Geheimnisrotation |
| Verwaltetes Panel (SaaS-ähnlich) | Schneller Einstieg, oft vorkonfigurierte Kanäle | Weniger Transparenz bei Datenresidenz, Abhängigkeit vom Anbieter-API-Limit |
② Telegram-Bot: Erstellung, Token-Ablage und Mindestrechte
Über den Bot-Dialog bei Telegram erhalten Sie ein Bot-Token. Behandeln Sie es wie ein Passwort: nicht in Git, nicht in öffentlichen Gists, keine Screenshots in Support-Tickets. Lege empfehlen sich:
- Umgebungsvariable
TELEGRAM_BOT_TOKEN(oder der von Ihrer OpenClaw-/Bridge-Doku genannte Name) nur inlaunchd EnvironmentVariablesoder Secret-Store. - Optional Datei
~/.config/openclaw/secrets/telegram.tokenmitchmod 600und Besitz durch den Dienstbenutzer – Pfad nur als Muster, an Ihre Policy anpassen. - Getrennte Bots für Staging und Produktion, damit Testläufe keine echten Kanäle fluten.
Mindestrechte: Der Bot benötigt nur die Fähigkeit, Nachrichten an erlaubte Chats zu senden; Gruppen- oder Supergroup-Szenarien erfordern, dass der Bot zum Kanal hinzugefügt wurde und (falls aktiviert) keine zusätzlichen Admin-Rechte über das Nötige hinaus erhält. Chat-ID und Token müssen zur selben Umgebung passen.
test -n "$TELEGRAM_BOT_TOKEN" && echo "Token gesetzt" || echo "Token fehlt"
curl -sS -o /dev/null -w "%{http_code}\n" "https://api.telegram.org/bot${TELEGRAM_BOT_TOKEN}/getMe"
Ein HTTP-Code 200 bei getMe bestätigt Gültigkeit und ausgehende Erreichbarkeit von api.telegram.org. Bei 401 Token rotieren; bei Timeouts Proxy oder DNS prüfen.
③ Slack: Incoming Webhook vs. App – Sicherheit, Audit, Limitierung
Slack lässt sich über einen klassischen Incoming Webhook (kanalgebundene URL) oder über eine Slack App mit OAuth-Bot und granulareren Scopes anbinden. Für OpenClaw- oder CI-Brücken zählt weniger die Oberfläche als die Frage, wer die URL kennt und ob eingehende Events signiert werden.
| Modus | Sicherheit | Auditierbarkeit | Limitierung / Betrieb |
|---|---|---|---|
| Incoming Webhook | Geheimnis in der URL – bei Leak postfähig bis zur Widerrufung | Begrenzt; meist Kanalbezug ohne feingranulare App-Aktivitätslogs | Einfach; geringer Overhead, achten Sie auf Posting-Frequenz pro Workspace |
| Slack App (Bot + API) | OAuth-Token rotierbar, Scopes explizit | Besser nachvollziehbar über App-Aktivität und Admin-Tools | Mehr Setup; CI-Preflight hilft, Drift in Secrets zu vermeiden |
Speichern Sie SLACK_WEBHOOK_URL bzw. Bot-Token wie Telegram außerhalb des Repos. Testen Sie ausgehend mit:
--data '{"text":"OpenClaw connectivity test"}' "$SLACK_WEBHOOK_URL"
④ Schritt für Schritt: von openclaw bis zur ersten Testnachricht
- CLI & Doctor:
openclaw doctorausführen, gemeldete Pfad- oder Node-Probleme beheben. - Kanal-Mapping: In der OpenClaw-Konfiguration (z. B. Abschnitt
channels,notificationsoder Plugin-spezifische Schlüssel – je nach Release) Telegram-Chat-ID und/oder Slack-Webhook eintragen; Platzhalternamen aus der offiziellen Doku verwenden. - Geheimnisse injizieren: Token/Webhook nur über Umgebung oder verschlüsselte Secret-Datei; LaunchAgent neu laden:
launchctl kickstart -k gui/UID/de.example.openclaw(Label anpassen). - Lokaler Probeaufruf: Viele Installationen bieten
openclaw … notifyoder ein Health-Subkommando – falls nicht vorhanden, minimalen HTTP-Client-Skript-Test wie oben mitcurl. - Ende-zu-Ende: Einen kontrollierten CI-Job oder manuellen Webhook an Ihren Gateway-Endpunkt senden (mit Signatur), sodass OpenClaw die Kette bis zum IM-Provider ausführt.
Wenn Ihr Stack eingehende Webhooks von GitHub/GitLab verarbeitet, validieren Sie Signaturheader (X-Hub-Signature-256 bzw. GitLab-X-Gitlab-Token) bevor Sie Nachrichten weiterleiten – Details siehe FAQ. Vertiefung zum Dauerbetrieb: LaunchAgent-Runbook.
⑤ FAQ: keine Nachrichten, Replay-Schutz, Rotation, CI-Callbacks
- Warum kommen Telegram- oder Slack-Nachrichten vom OpenClaw-Gateway nicht an?
- Prüfen Sie zuerst Chat-Zuordnung (Bot im Kanal?), dann gleiche UID/Umgebung wie unter
launchd(printenvin einem vom Dienst gestarteten Shell-Wrapper). Testen Siecurl getMebzw. Slack-POST. Blockiert Egress oder ein falscher Proxy, schlagen beide Aufrufe fehl – siehe Egress-Checkliste. - Wie schütze ich Webhooks vor Replay und Fälschungen?
- Nutzen Sie Anbieter-Signaturheader mit Zeitfenster (z. B. Slack
X-Slack-Signature), lehnen Sie alte Timestamps ab und loggen Sie fehlgeschlagene Verifikationen getrennt von Anwendungsfehlern. - Wie rotiere ich Bot- oder Webhook-Tokens ohne Downtime?
- Neues Secret erzeugen, parallel bereitstellen, Dienst neu laden, Traffic bestätigen, altes Secret entfernen. In CI nur Plattform-Secrets; niemals Echo in Build-Logs.
- Worauf achten bei CI-Callbacks zum IM-Kanal?
- Idempotenz (gleicher Commit darf nicht zehnmal alarmieren), kurze Texte ohne Geheimnisse, Timeouts begrenzen Duplikate. Kombinieren Sie mit unserem Leitfaden Git/Docker-Pull für stabile Runner-Umgebungen.
Zusammenfassung: OpenClaw auf dem Remote Mac liefert 2026 zuverlässige IM-Anbindungen, wenn Node 22+, openclaw doctor, konsistente LaunchAgent-Umgebung und strikt getrennte Telegram-/Slack-Geheimnisse stimmen. Webhooks immer verifizieren, Loopbindung oder Reverse-Proxy bewusst wählen und Outbound zu api.telegram.org sowie hooks.slack.com messen.
Anschaffung: Für dauerhaft erreichbare Knoten mit niedriger Netzlatenz zu Ihren Registries empfehlen wir, Region und Paket auf der Kaufen-Seite mit den Preisen abzugleichen und SSH sowie Peering über Hilfe zu verifizieren. Überblick: Startseite und OpenClaw-Artikel im Blog.
Mehr Lesestoff: Technik-Blog · OpenClaw CI Pre-Pull · Git-Spiegel & Pull