install、Node 22+、openclaw onboard/openclaw doctor,閘道多綁遠端 Mac 本機迴環再以 SSH 或反向代理對外。讀者為要把告警/CI 結果接入 Telegram/Slack 的團隊與獨立開發者;下文以命令與配置項為主。延伸:閘道安全加固、Git/npm/Homebrew 跨境 CI、Git/Docker 拉取加速;說明中心。
① 前置檢查:版本、埠號、本機綁定與反向代理
在接 IM 通道前,先確保閘道「活著且聽對地方」,否則 Webhook 只會在供應商側顯示逾時或 502。
- 執行檔與 Node:
which openclaw、node -v(對齊文件要求的 22+/24 主線);映像與筆電需同一 minor。 - 健康狀態:
openclaw doctor、openclaw status(或文件列舉的同等指令);多環境時設OPENCLAW_HOME/OPENCLAW_CONFIG_PATH避免讀錯設定目錄。 - 監聽與埠:
lsof -nP -iTCP -sTCP:LISTEN | egrep 'node|openclaw';生產預設應看到127.0.0.1:PORT,而非裸*:PORT。 - 本機綁定 vs 反向代理:Webhook 必須 HTTPS 公開 URL 時,用 Nginx/Caddy 終止 TLS 再轉發到
127.0.0.1;確認Host、X-Forwarded-Proto與供應商要求的簽章標頭未被剝除。
| 模式 | 適用 | 主要風險 |
|---|---|---|
僅 127.0.0.1+內部呼叫 | 人在 SSH 後操作、或 CI 經內網打閘道 | 需自建隧道/代理才能收公網 Webhook |
| 反向代理對外 HTTPS | Telegram/Slack 正式 Webhook | 錯誤 TLS、標頭遺失、速率限制未設 |
| 托管面板類閘道 | 快速試錯、無專職維運 | 合規邊界、供應商鎖定、自訂校驗彈性 |
② Telegram Bot:建立、Token 寫入與環境隔離的最小權限
依官方流程與 BotFather 對話建立 Bot 並取得 Token 後,請視為與生產 API Key 同級;不要寫進可被版控追蹤的檔案。
最小權限:僅開「發送訊息」所需能力;若只做頻道通知,避免開啟可讀取全群成員的擴展權限。具體勾選以官方 Bot 設定為準。
Token 注入:使用環境變數(例如 TELEGRAM_BOT_TOKEN)或 macOS 鑰匙圈/祕鑰管理器;launchctl print gui/$(id -u)/<label> 核對 plist 內是否僅有必要變數。
環境隔離:開發/預發布/生產各一隻 Bot 或至少各一組 Token;OpenClaw 設定目錄權限 700,避免同機其他帳號讀取。
Webhook 密鑰:呼叫 Bot API setWebhook 時設定 secret_token,閘道處理入口校驗對應標頭(名稱依實作),拒絕無密鑰請求。
# 本機快速驗證 Token 是否有效(將 TOKEN 替換為實際值) curl -sS "https://api.telegram.org/botTOKEN/getMe"
③ Slack:Incoming Webhook 與 Slack App 方式對照
兩者皆可發訊息至頻道;差在安全、審計與限流。
| 方式 | 安全 | 審計/治理 | 限流與營運 |
|---|---|---|---|
| Incoming Webhook | URL 即祕鑰,外洩等同可發文;需靠 URL 旋轉與網路邊界補強 | 多為單一 URL 維度,細粒度 OAuth scope 較少 | 設定快,適合低頻告警;高併發易觸發供應商節流 |
| Slack App(chat.postMessage 等) | 可搭配 Bot Token+簽章校驗與最小 OAuth scope | Workspace 管理員可檢視 App 安裝與權限變更紀錄 | 需維護 App 設定與輪替流程;長期較利於合規團隊 |
閘道接收 Slack 事件須驗證 X-Slack-Signature:以 Signing Secret 對本文做 HMAC,並檢查時間戳滑動視窗,防重放。
④ 可複現步驟:從 openclaw 到首則測試訊息
以下為遠端 Mac 上常見順序;實際配置鍵名請以當前 OpenClaw 文件「channels/notifications/integrations」類區塊為準。
安裝與向導:依官方建議完成全域或專案安裝後執行 openclaw onboard,必要時 openclaw onboard --install-daemon 註冊 launchd。
寫入通道祕鑰:在環境或設定檔中填入 Telegram/Slack 相關變數(如 TELEGRAM_BOT_TOKEN、SLACK_SIGNING_SECRET、Webhook URL 等),並與 openclaw doctor 報告的搜尋路徑一致。
閘道綁定:將 HTTP 入口綁 127.0.0.1,由反向代理對外;設定閘道層 Authorization: Bearer <GATEWAY_TOKEN>(名稱依文件)避免匿名調用。
註冊 Webhook:Telegram 指向 https://你的網域/openclaw/telegram(示例路徑);Slack 互動 URL 指向對應 HTTPS 端點。完成後用平台提供的「測試投遞」或最小 payload 驗證。
發首則訊息:使用 OpenClaw CLI/附帶範例指令發送測試(如文件中的 openclaw notify 或同等子命令);同時 log show --last 15m --predicate 'process == "node"' 觀察 stderr。
# 本機探測閘道健康(埠與標頭依部署替換)
curl -sS -o /dev/null -w '%{http_code}\n' -H 'Authorization: Bearer YOUR_GATEWAY_TOKEN' http://127.0.0.1:PORT/health
⑤ FAQ:收不到訊息、重放防護、令牌輪替與 CI 回調
- 收不到訊息:先
lsof -i :PORT與反向代理 error log;再對照 TelegramgetWebhookInfo最後錯誤碼與 Slack Delivery 日誌;常見為 TLS 鏈不完整、路徑轉發錯誤、或簽章校驗失敗導致 401。 - 重放攻擊:Slack 校驗
X-Slack-Signature+時間窗;Telegram 使用secret_token;閘道可再加 nonce/idempotency 表處理 CI 重試。 - 令牌輪替:先部署新祕鑰並驗證發送成功,再撤銷舊 Bot Token 或旋轉 Webhook;檢查 GitHub Actions/GitLab CI Variables 與
launchdplist 是否殘留舊值。 - CI 回調:回調 handler 與 IM 出站分離;限制 body 大小與 QPS;對artifact 連結使用短時簽名 URL;日誌遮罩 token 與使用者標識。
小結與下一步
總結:在遠端 Mac自建 OpenClaw 閘道並接入 Telegram/Slack,成敗往往取決於「Node 與設定路徑一致、監聽綁對位址、Webhook 簽章/密鑰校驗落實、以及 CI 與 IM 邊界分離」四件事。先把 openclaw doctor 與 lsof 變成習慣,再談進階治理。
若你需要長期上線、穩定頻寬與 Apple Silicon 節點承載閘道與 CI,可先瀏覽MacPull 首頁了解場景,至定價比對方案,並在購買頁(免登入)選擇節點區域;操作說明見說明中心。更多 OpenClaw 與 CI 實戰可從技術部落格繼續閱讀,例如閘道健康與 LaunchAgent與Mac CI/CD 與 Git/CocoaPods 加速。