Guides
CLI-Einrichtungsreferenz
Diese Seite beschreibt Schritt für Schritt das Onboarding-Verhalten, die Ausgaben und die internen Abläufe.
Eine Anleitung finden Sie unter Onboarding (CLI). Die vollständige Referenz der CLI-Flags
(alle --flag-Optionen, nicht interaktive Beispiele und providerspezifische
Befehle) finden Sie unter openclaw onboard.
Funktionsweise des Assistenten
Der lokale Modus (Standard) führt Sie durch:
- Modell- und Authentifizierungseinrichtung (Anthropic, OAuth für das OpenAI-Code-Abonnement, xAI, OpenCode, benutzerdefinierte Endpunkte und weitere providerseitige Authentifizierungsabläufe)
- Workspace-Speicherort und Bootstrap-Dateien
- Gateway-Einstellungen (Port, Bindung, Authentifizierung, Tailscale)
- Kanäle und Provider (Discord, Feishu, Google Chat, iMessage, Mattermost, Microsoft Teams, QQ Bot, Signal, Slack, Telegram, WhatsApp und andere gebündelte oder Plugin-Kanäle)
- Provider für die Websuche (optional)
- Daemon-Installation (LaunchAgent, systemd-Benutzereinheit oder native geplante Windows-Aufgabe mit Ausweichlösung über den Autostartordner)
- Integritätsprüfung
- Einrichtung der Skills
Der Remote-Modus konfiguriert diesen Rechner für die Verbindung mit einem Gateway an einem anderen Ort. Er installiert oder ändert nichts auf dem Remote-Host.
Details zum lokalen Ablauf
Erkennung vorhandener Konfiguration
- Wenn
~/.openclaw/openclaw.jsonvorhanden ist, wählen Sie Aktuelle Werte beibehalten, Prüfen und aktualisieren oder Vor der Einrichtung zurücksetzen. - Beim erneuten Ausführen des Assistenten wird nichts gelöscht, sofern Sie nicht ausdrücklich „Zurücksetzen“ wählen (oder
--resetübergeben). - CLI
--resetverwendet standardmäßigconfig+creds+sessions; verwenden Sie--reset-scope full, um auch den Workspace zu entfernen. - Wenn die Konfiguration ungültig ist oder veraltete Schlüssel enthält, hält der Assistent an und fordert Sie auf,
openclaw doctorauszuführen, bevor Sie fortfahren. - Beim Zurücksetzen wird der Zustand in den Papierkorb verschoben (niemals direkt gelöscht), und folgende Bereiche stehen zur Auswahl:
- Nur Konfiguration
- Konfiguration + Anmeldedaten + Sitzungen
- Vollständiges Zurücksetzen (entfernt auch den Workspace)
Modell und Authentifizierung
- Die vollständige Optionsmatrix finden Sie unter Authentifizierungs- und Modelloptionen.
Workspace
- Standardmäßig
~/.openclaw/workspace(konfigurierbar). - Legt die für den Bootstrap beim ersten Start erforderlichen Workspace-Dateien an.
- Workspace-Struktur: Agent-Workspace.
Gateway
- Fragt Port, Bindung, Authentifizierungsmodus und Tailscale-Freigabe ab.
- Empfehlung: Lassen Sie die Token-Authentifizierung auch für Loopback aktiviert, damit sich lokale WS-Clients authentifizieren müssen.
- Im Token-Modus bietet die interaktive Einrichtung Folgendes:
- Klartext-Token generieren/speichern (Standard)
- SecretRef verwenden (optional)
- Im Passwortmodus unterstützt die interaktive Einrichtung ebenfalls die Speicherung als Klartext oder SecretRef.
- Nicht interaktiver Token-SecretRef-Pfad:
--gateway-token-ref-env <ENV_VAR>.- Erfordert eine nicht leere Umgebungsvariable in der Prozessumgebung des Onboardings.
- Kann nicht mit
--gateway-tokenkombiniert werden.
- Deaktivieren Sie die Authentifizierung nur, wenn Sie jedem lokalen Prozess vollständig vertrauen.
- Bindungen außerhalb von Loopback erfordern weiterhin eine Authentifizierung.
Kanäle
- WhatsApp: optionale QR-Anmeldung
- Telegram: Bot-Token
- Discord: Bot-Token
- Google Chat: Dienstkonto-JSON + Webhook-Zielgruppe
- Mattermost: Bot-Token + Basis-URL
- Signal: optionale Installation von
signal-cli+ Kontokonfiguration - iMessage: Pfad zur
imsg-CLI + Zugriff auf die Messages-Datenbank; verwenden Sie einen SSH-Wrapper, wenn das Gateway nicht auf einem Mac ausgeführt wird - DM-Sicherheit: Standardmäßig wird eine Kopplung verwendet. Die erste DM sendet einen Code; genehmigen Sie ihn über
openclaw pairing approve <channel> <code>oder verwenden Sie Zulassungslisten.
Websuche
- Wählen Sie einen Provider (Brave, DuckDuckGo, Exa, Firecrawl, Gemini, Grok, Kimi, MiniMax Search, Ollama Web Search, Perplexity, SearXNG, Tavily) oder überspringen Sie den Schritt.
- Überspringen Sie diesen Schritt mit
--skip-search; konfigurieren Sie ihn später mitopenclaw configure --section webneu.
Daemon-Installation
- macOS: LaunchAgent
- Erfordert eine angemeldete Benutzersitzung; verwenden Sie für einen Headless-Betrieb einen benutzerdefinierten LaunchDaemon (nicht enthalten).
- Linux und Windows über WSL2: systemd-Benutzereinheit
- Der Assistent versucht,
loginctl enable-linger <user>auszuführen, damit das Gateway nach der Abmeldung weiterläuft. - Fordert möglicherweise zur Verwendung von sudo auf (schreibt nach
/var/lib/systemd/linger); zunächst wird es ohne sudo versucht.
- Der Assistent versucht,
- Natives Windows: zuerst eine geplante Aufgabe
- Wenn die Erstellung der Aufgabe verweigert wird, weicht OpenClaw auf ein benutzerspezifisches Anmeldeelement im Autostartordner aus und startet das Gateway sofort.
- Geplante Aufgaben werden weiterhin bevorzugt, da sie bessere Statusinformationen zur Überwachung bereitstellen.
- Runtime-Auswahl: Interaktiv wird nur Node angeboten. Bun kann bei der erneuten Verbindung von WhatsApp/Telegram den Speicher beschädigen und wird für diese Kanäle nicht als Daemon-Runtime unterstützt; übergeben Sie
--daemon-runtime bunnur außerhalb dieser Kombination.
Integritätsprüfung
- Startet das Gateway (falls erforderlich) und führt
openclaw healthaus. openclaw status --deepergänzt die Statusausgabe um die Live-Integritätsprüfung des Gateways, einschließlich Kanalprüfungen, sofern unterstützt.
Skills
- Liest verfügbare Skills ein und prüft die Voraussetzungen.
- Lässt Sie einen Node-Manager auswählen: npm, pnpm oder bun.
- Installiert optionale Abhängigkeiten für vertrauenswürdige gebündelte Skills, wenn das erforderliche Installationsprogramm verfügbar ist.
- Überspringt nicht verfügbare Installationsprogramme für Homebrew, uv und Go und gruppiert anschließend die betroffenen
Skills mit Anweisungen zur manuellen Einrichtung. Führen Sie
openclaw doctoraus, nachdem Sie die fehlenden Voraussetzungen installiert haben.
Abschluss
- Zusammenfassung und nächste Schritte, einschließlich Optionen für iOS-, Android- und macOS-Apps.
Details zum Remote-Modus
Der Remote-Modus konfiguriert diesen Rechner für die Verbindung mit einem Gateway an einem anderen Ort. Er installiert oder ändert nichts auf dem Remote-Host.
Ihre Einstellungen:
- Remote-Gateway-URL (
ws://...oderwss://...) - Token, Passwort oder keine Authentifizierung, entsprechend der Konfiguration des Remote-Gateways
Erkennung (optional)
Wenn dns-sd (macOS) oder avahi-browse (Linux) verfügbar ist, bietet das Onboarding
an, nach Bonjour-/mDNS-Beacons von Gateways zu suchen, bevor auf die
manuelle URL-Eingabe zurückgegriffen wird. Wenn konfiguriert, wird auch eine
Wide-Area-DNS-SD-Erkennung versucht. Dokumentation: Gateway-Erkennung, Bonjour.
Verbindungsmethode
Wenn ein Beacon ausgewählt ist, wählen Sie eine direkte WebSocket-Verbindung oder einen SSH-Tunnel:
- Direkt: Stellt eine Verbindung über
wss://her und fordert Sie auf, dem erkannten TLS-Fingerabdruck zu vertrauen (Pinning nach dem Trust-on-First-Use-Prinzip; wird nur gespeichert, wenn Sie zustimmen). - SSH-Tunnel: Gibt einen Befehl
ssh -N -L 18789:127.0.0.1:18789 <user>@<host>aus, den Sie zuerst ausführen müssen, und stellt anschließend eine Verbindung mit dem lokalen Tunnelendpunkt her.
Authentifizierung
Wählen Sie Token (empfohlen), Passwort oder keine Authentifizierung und speichern Sie die Angabe anschließend optional als SecretRef statt als Klartext.
Authentifizierungs- und Modelloptionen
Wenn ein Schritt zur Provider-Einrichtung beim interaktiven Onboarding fehlschlägt (beispielsweise eine Option zur Wiederverwendung der CLI
ohne lokale Anmeldung), zeigt der Assistent den Fehler an und kehrt zur Providerauswahl zurück,
anstatt beendet zu werden. Explizite Ausführungen mit --auth-choice schlagen für Automatisierungen weiterhin sofort fehl.
Anthropic-API-Schlüssel
Verwendet ANTHROPIC_API_KEY, falls vorhanden, oder fordert zur Eingabe eines Schlüssels auf und speichert ihn anschließend zur Verwendung durch den Daemon.
Anthropic Claude CLI
Bevorzugter lokaler Pfad beim interaktiven Onboarding bzw. bei der interaktiven Konfiguration; verwendet eine vorhandene Anmeldung der Claude CLI, sofern verfügbar.
OpenAI-Code-Abonnement (OAuth)
Browserablauf; fügen Sie code#state ein.
Bei einer neuen Einrichtung ohne primäres Modell wird agents.defaults.model über die Codex-Runtime auf
openai/gpt-5.6-sol gesetzt.
OpenAI-Code-Abonnement (Gerätekopplung)
Browserbasierter Kopplungsablauf mit einem kurzlebigen Gerätecode.
Bei einer neuen Einrichtung ohne primäres Modell wird agents.defaults.model über die Codex-Runtime auf
openai/gpt-5.6-sol gesetzt.
OpenAI-API-Schlüssel
Verwendet OPENAI_API_KEY, falls vorhanden, oder fordert zur Eingabe eines Schlüssels auf und speichert die Anmeldedaten anschließend in Authentifizierungsprofilen.
Bei einer neuen Einrichtung ohne primäres Modell wird agents.defaults.model auf
openai/gpt-5.6 gesetzt; die einfache Modell-ID der direkten API wird der Sol-Stufe zugeordnet.
Beim Hinzufügen oder erneuten Authentifizieren von OpenAI bleibt ein vorhandenes explizites primäres
Modell erhalten, einschließlich openai/gpt-5.5. Wenn das Konto GPT-5.6 nicht bereitstellt,
wählen Sie ausdrücklich openai/gpt-5.5; OpenClaw führt kein stilles Downgrade durch.
xAI (Grok) OAuth
Browseranmeldung für berechtigte SuperGrok- oder X-Premium-Konten. Dies ist für die
meisten Benutzer der empfohlene xAI-Pfad. OpenClaw speichert das resultierende Authentifizierungsprofil
für Grok-Modelle sowie Grok web_search, x_search und code_execution.
xAI (Grok)-Gerätecode
Für Remote-Systeme geeignete Browseranmeldung mit einem kurzen Code anstelle eines localhost- Callbacks. Verwenden Sie dies auf SSH-, Docker- oder VPS-Hosts.
xAI (Grok)-API-Schlüssel
Fordert zur Eingabe von XAI_API_KEY auf und konfiguriert xAI als Modell-Provider. Verwenden Sie dies,
wenn Sie statt Abonnement-OAuth einen API-Schlüssel der xAI Console verwenden möchten.
OpenCode
Fordert zur Eingabe von OPENCODE_API_KEY (oder OPENCODE_ZEN_API_KEY) auf und lässt Sie den Zen- oder Go-Katalog auswählen (ein API-Schlüssel deckt beide ab).
Einrichtungs-URL: opencode.ai/auth.
API-Schlüssel (generisch)
Speichert den Schlüssel für Sie.
Vercel AI Gateway
Fordert zur Eingabe von AI_GATEWAY_API_KEY auf.
Weitere Einzelheiten: Vercel AI Gateway.
Cloudflare AI Gateway
Fordert zur Eingabe der Konto-ID, der Gateway-ID und von CLOUDFLARE_AI_GATEWAY_API_KEY auf.
Weitere Einzelheiten: Cloudflare AI Gateway.
MiniMax
Die Konfiguration wird automatisch geschrieben. Der gehostete Standard ist MiniMax-M3; die Einrichtung mit API-Schlüssel verwendet
minimax/..., die OAuth-Einrichtung hingegen minimax-portal/....
Weitere Einzelheiten: MiniMax.
StepFun
Die Konfiguration wird automatisch für StepFun Standard oder Step Plan auf chinesischen oder globalen Endpunkten geschrieben.
Standard umfasst derzeit step-3.5-flash, und Step Plan umfasst zusätzlich step-3.5-flash-2603.
Weitere Einzelheiten: StepFun.
Synthetic (Anthropic-kompatibel)
Fordert zur Eingabe von SYNTHETIC_API_KEY auf.
Weitere Einzelheiten: Synthetic.
Ollama (Cloud- und lokale offene Modelle)
Fordert Sie zunächst zur Auswahl von Cloud + Local, Cloud only oder Local only auf.
Cloud only verwendet OLLAMA_API_KEY mit https://ollama.com.
Die hostgestützten Modi fragen die Basis-URL ab (Standard http://127.0.0.1:11434), erkennen verfügbare Modelle und schlagen Standardwerte vor.
Cloud + Local prüft außerdem, ob dieser Ollama-Host für den Cloud-Zugriff angemeldet ist.
Weitere Einzelheiten: Ollama.
Moonshot und Kimi Coding
Die Konfigurationen für Moonshot (Kimi K2) und Kimi Coding werden automatisch geschrieben. Weitere Einzelheiten: Moonshot AI (Kimi + Kimi Coding).
Benutzerdefinierter Provider
Funktioniert mit OpenAI-kompatiblen, OpenAI-Responses-kompatiblen und Anthropic-kompatiblen Endpunkten.
Die interaktive Ersteinrichtung unterstützt dieselben Speicheroptionen für API-Schlüssel wie andere Abläufe für Provider-API-Schlüssel:
- API-Schlüssel jetzt einfügen (Klartext)
- Geheimnisreferenz verwenden (Umgebungsreferenz oder konfigurierte Provider-Referenz, mit Vorabvalidierung)
Die Ersteinrichtung erkennt die Bildunterstützung für gängige IDs von Vision-Modellen (GPT-4o/4.1/5.x, Claude 3/4, Gemini, Qwen-VL, LLaVA, Pixtral und ähnliche) automatisch und fragt nur nach, wenn der Modellname unbekannt ist.
Flags für den nicht interaktiven Modus:
--auth-choice custom-api-key--custom-base-url--custom-model-id--custom-api-key(optional; greift ersatzweise aufCUSTOM_API_KEYzurück)--custom-provider-id(optional)--custom-compatibility <openai|openai-responses|anthropic>(optional; Standardwertopenai)--custom-image-input/--custom-text-input(optional; überschreibt die erkannte Eingabefähigkeit des Modells)
Überspringen
Lässt die Authentifizierung unkonfiguriert.
Modellverhalten:
- Wählen Sie das Standardmodell aus den erkannten Optionen aus oder geben Sie Provider und Modell manuell ein.
- Wenn die Ersteinrichtung mit der Auswahl einer Provider-Authentifizierung beginnt, bevorzugt die Modellauswahl
automatisch diesen Provider. Bei Volcengine und BytePlus umfasst diese Präferenz
auch deren Coding-Plan-Varianten (
volcengine-plan/*,byteplus-plan/*). - Wenn dieser Filter für den bevorzugten Provider keine Ergebnisse liefern würde, greift die Auswahl auf den vollständigen Katalog zurück, statt keine Modelle anzuzeigen.
- Der Assistent führt eine Modellprüfung durch und warnt, wenn das konfigurierte Modell unbekannt ist oder die Authentifizierung fehlt.
Pfade für Anmeldedaten und Profile:
- Authentifizierungsprofile (API-Schlüssel + OAuth):
~/.openclaw/agents/<agentId>/agent/auth-profiles.json - Import von älterem OAuth:
~/.openclaw/credentials/oauth.json
Speichermodus für Anmeldedaten:
- Standardmäßig speichert die Ersteinrichtung API-Schlüssel als Klartextwerte in Authentifizierungsprofilen.
--secret-input-mode refaktiviert den Referenzmodus anstelle der Speicherung von Schlüsseln im Klartext. Bei der interaktiven Einrichtung können Sie zwischen Folgendem wählen:- Umgebungsvariablenreferenz (zum Beispiel
keyRef: { source: "env", provider: "default", id: "OPENAI_API_KEY" }) - konfigurierte Provider-Referenz (
fileoderexec) mit Provider-Alias und ID
- Umgebungsvariablenreferenz (zum Beispiel
- Der interaktive Referenzmodus führt vor dem Speichern eine schnelle Vorabvalidierung durch.
- Umgebungsreferenzen: Überprüft den Variablennamen und einen nicht leeren Wert in der aktuellen Ersteinrichtungsumgebung.
- Provider-Referenzen: Überprüft die Provider-Konfiguration und löst die angeforderte ID auf.
- Wenn die Vorabvalidierung fehlschlägt, zeigt die Ersteinrichtung den Fehler an und ermöglicht einen erneuten Versuch.
- Im nicht interaktiven Modus wird
--secret-input-mode refausschließlich durch Umgebungsvariablen unterstützt.- Legen Sie die Provider-Umgebungsvariable in der Prozessumgebung der Ersteinrichtung fest.
- Direkte Schlüssel-Flags (zum Beispiel
--openai-api-key) setzen voraus, dass diese Umgebungsvariable festgelegt ist; andernfalls bricht die Ersteinrichtung sofort ab. - Bei benutzerdefinierten Providern speichert der nicht interaktive Modus
refden Wertmodels.providers.<id>.apiKeyals{ source: "env", provider: "default", id: "CUSTOM_API_KEY" }. - In diesem Fall eines benutzerdefinierten Providers setzt
--custom-api-keyvoraus, dassCUSTOM_API_KEYfestgelegt ist; andernfalls bricht die Ersteinrichtung sofort ab.
- Gateway-Authentifizierungsdaten unterstützen bei der interaktiven Einrichtung Klartext- und SecretRef-Optionen:
- Token-Modus: Klartext-Token generieren/speichern (Standard) oder SecretRef verwenden.
- Passwortmodus: Klartext oder SecretRef.
- Nicht interaktiver SecretRef-Pfad für Token:
--gateway-token-ref-env <ENV_VAR>. - Bestehende Klartext-Einrichtungen funktionieren unverändert weiter.
Ausgaben und Interna
Typische Felder in ~/.openclaw/openclaw.json:
agents.defaults.workspaceagents.defaults.skipBootstrap, wenn--skip-bootstrapübergeben wirdagents.defaults.model/models.providers(wenn Minimax ausgewählt wurde)tools.profile(bei lokaler Ersteinrichtung standardmäßig"coding", wenn nicht festgelegt; vorhandene explizite Werte bleiben erhalten)gateway.*(Modus, Bindung, Authentifizierung, Tailscale)session.dmScope(bei lokaler Ersteinrichtung standardmäßigper-channel-peer, wenn nicht festgelegt; vorhandene explizite Werte bleiben erhalten)channels.telegram.botToken,channels.discord.token,channels.matrix.*,channels.signal.*,channels.imessage.*- Kanal-Zulassungslisten (Discord, iMessage, Signal, Slack, Telegram, WhatsApp), wenn Sie diese während der Eingabeaufforderungen aktivieren; Discord und Slack lösen eingegebene Namen außerdem in IDs auf
skills.install.nodeManager- Das Flag
setup --node-managerakzeptiertnpm,pnpmoderbun. - Bei manueller Konfiguration kann später weiterhin
skills.install.nodeManager: "yarn"festgelegt werden.
- Das Flag
wizard.lastRunAtwizard.lastRunVersionwizard.lastRunCommitwizard.lastRunCommandwizard.lastRunModewizard.securityAcknowledgedAt
openclaw agents add schreibt agents.list[] und optionale bindings.
WhatsApp-Anmeldedaten werden unter ~/.openclaw/credentials/whatsapp/<accountId>/ gespeichert.
Aktive Sitzungen und Transkripte werden in
~/.openclaw/agents/<agentId>/agent/openclaw-agent.sqlite gespeichert. Das Verzeichnis
~/.openclaw/agents/<agentId>/sessions/ wird für Eingaben älterer Migrationen
und Archiv-/Supportartefakte verwendet.
Nicht interaktive Einrichtung
--non-interactive erfordert --accept-risk (bestätigt, dass Agenten
leistungsfähig sind und vollständiger Systemzugriff riskant ist):
openclaw onboard --non-interactive --accept-risk \ --auth-choice apiKey \ --anthropic-api-key "$ANTHROPIC_API_KEY"Vollständige Flag-Referenz und providerspezifische Beispiele: openclaw onboard, CLI-Automatisierung.
Gateway-Assistent-RPC
wizard.startwizard.nextwizard.cancelwizard.status
Clients (macOS-App und Control UI) können Schritte darstellen, ohne die Ersteinrichtungslogik neu zu implementieren.
Verhalten bei der Signal-Einrichtung
- Lädt das passende Release-Artefakt aus den offiziellen GitHub-Releases von
signal-cliherunter (nativer Build, nur Linux x86-64) - Auf anderen Plattformen (macOS, Linux ohne x64) erfolgt die Installation stattdessen über Homebrew
- Speichert die Installation des Release-Artefakts unter
~/.openclaw/tools/signal-cli/<version>/ - Schreibt
channels.signal.cliPathin die Konfiguration - Natives Windows wird noch nicht unterstützt; führen Sie die Ersteinrichtung innerhalb von WSL2 aus, um den Linux-Installationspfad zu erhalten
Verwandte Dokumentation
- Ersteinrichtungsübersicht: Ersteinrichtung (CLI)
- Automatisierung und Skripte: CLI-Automatisierung
- Befehlsreferenz:
openclaw onboard