Gateway
Configuration
OpenClaw lit une configuration JSON5 facultative depuis ~/.openclaw/openclaw.json. Si le fichier est absent, OpenClaw utilise des valeurs par défaut sûres.
Le chemin de configuration actif doit désigner un fichier ordinaire. Les écritures effectuées par OpenClaw le remplacent de manière atomique (par renommage vers le chemin), de sorte qu’un fichier openclaw.json sous forme de lien symbolique voit sa cible remplacée au lieu d’être modifiée directement — évitez les configurations reposant sur des liens symboliques. Si vous conservez la configuration en dehors du répertoire d’état par défaut, faites pointer OPENCLAW_CONFIG_PATH directement vers le fichier réel.
Raisons courantes d’ajouter une configuration :
- Connecter des canaux et contrôler qui peut envoyer des messages au bot
- Définir les modèles, les outils, le bac à sable ou l’automatisation (cron, hooks)
- Ajuster les sessions, les médias, le réseau ou l’interface utilisateur
Consultez la référence complète pour connaître tous les champs disponibles.
Les agents et les automatisations doivent utiliser config.schema.lookup pour obtenir la
documentation exacte de chaque champ avant de modifier la configuration. Utilisez cette page pour des conseils axés sur les tâches et
la référence de configuration pour une vue d’ensemble
des champs et des valeurs par défaut.
Configuration minimale
// ~/.openclaw/openclaw.json{ agents: { defaults: { workspace: "~/.openclaw/workspace" } }, channels: { whatsapp: { allowFrom: ["+15555550123"] } },}Modification de la configuration
Assistant interactif
openclaw onboard # processus d’intégration completopenclaw configure # assistant de configurationCLI (commandes sur une ligne)
openclaw config get agents.defaults.workspaceopenclaw config set agents.defaults.heartbeat.every "2h"openclaw config unset plugins.entries.brave.config.webSearch.apiKeyInterface de contrôle
Ouvrez http://127.0.0.1:18789 et utilisez l’onglet Configuration.
L’interface de contrôle génère un formulaire à partir du schéma de configuration actif, y compris les métadonnées
documentaires title / description des champs ainsi que les schémas des plugins et des canaux lorsqu’ils
sont disponibles, avec un éditeur JSON brut comme solution de repli. Pour les interfaces
d’exploration détaillée et les autres outils, le Gateway expose également config.schema.lookup afin de
récupérer un nœud de schéma limité à un chemin ainsi que les résumés de ses enfants immédiats.
Modification directe
Modifiez directement ~/.openclaw/openclaw.json. Le Gateway surveille le fichier et applique automatiquement les modifications (voir le rechargement à chaud).
Validation stricte
openclaw config schema affiche le schéma JSON canonique utilisé par l’interface de contrôle
et la validation. config.schema.lookup récupère un seul nœud limité à un chemin ainsi que
les résumés de ses enfants pour les outils d’exploration détaillée. Les métadonnées documentaires
title/description des champs sont propagées dans les objets imbriqués, les caractères génériques (*),
les éléments de tableau ([]) et les branches anyOf/oneOf/allOf. Les schémas d’exécution
des plugins et des canaux sont fusionnés lorsque le registre des manifestes est chargé.
En cas d’échec de la validation :
- Le Gateway ne démarre pas
- Seules les commandes de diagnostic fonctionnent (
openclaw doctor,openclaw logs,openclaw health,openclaw status) - Exécutez
openclaw doctorpour afficher les problèmes exacts - Exécutez
openclaw doctor --fix(--repairest le même indicateur ;--yesignore les invites) pour appliquer les corrections
Le Gateway conserve une copie fiable de la dernière configuration valide après chaque démarrage réussi,
mais le démarrage et le rechargement à chaud ne la restaurent pas automatiquement — seul openclaw doctor --fix
le fait. Si openclaw.json échoue à la validation (y compris à la validation propre à un plugin), le démarrage
du Gateway échoue ou le rechargement est ignoré, et l’environnement d’exécution actuel conserve la dernière
configuration acceptée. Une écriture rejetée est également enregistrée sous <path>.rejected.<timestamp> pour examen.
Le Gateway bloque les écritures qui semblent écraser accidentellement la configuration — suppression de gateway.mode,
perte du bloc meta ou réduction de plus de moitié de la taille du fichier — sauf si l’écriture
autorise explicitement les modifications destructrices. La promotion comme dernière configuration valide est ignorée lorsqu’un
candidat contient un espace réservé de secret masqué tel que *** ou [redacted].
Tâches courantes
Configurer un canal (WhatsApp, Telegram, Discord, etc.)
Chaque canal possède sa propre section de configuration sous channels.<provider>. Consultez la page dédiée au canal pour connaître les étapes de configuration :
- Discord -
channels.discord - Feishu -
channels.feishu - Google Chat -
channels.googlechat - iMessage -
channels.imessage - Mattermost -
channels.mattermost - Microsoft Teams -
channels.msteams - Signal -
channels.signal - Slack -
channels.slack - Telegram -
channels.telegram - WhatsApp -
channels.whatsapp
Tous les canaux partagent le même modèle de politique pour les messages privés :
{ channels: { telegram: { enabled: true, botToken: "123:abc", dmPolicy: "pairing", // pairing | allowlist | open | disabled allowFrom: ["tg:123"], // uniquement pour allowlist/open }, },}Choisir et configurer les modèles
Définissez le modèle principal et les modèles de secours facultatifs :
{ agents: { defaults: { model: { primary: "anthropic/claude-sonnet-4-6", fallbacks: ["openai/gpt-5.4"], }, models: { "anthropic/claude-sonnet-4-6": { alias: "Sonnet" }, "openai/gpt-5.4": { alias: "GPT" }, }, }, },}agents.defaults.modelsdéfinit le catalogue de modèles et sert de liste d’autorisation pour/model; les entréesprovider/*limitent/model,/modelset les sélecteurs de modèles aux fournisseurs sélectionnés tout en continuant à utiliser la découverte dynamique des modèles.- Utilisez
openclaw config set agents.defaults.models '<json>' --strict-json --mergepour ajouter des entrées à la liste d’autorisation sans supprimer les modèles existants. Les remplacements simples qui supprimeraient des entrées sont rejetés, sauf si vous transmettez--replace. - Les références de modèles utilisent le format
provider/model(par exempleanthropic/claude-opus-4-6). agents.defaults.imageMaxDimensionPxcontrôle la réduction des images des transcriptions et des outils (valeur par défaut :1200) ; des valeurs inférieures réduisent généralement l’utilisation des jetons de vision pour les exécutions comportant de nombreuses captures d’écran.- Consultez la CLI des modèles pour changer de modèle dans la conversation et le basculement de modèle pour la rotation de l’authentification et le comportement de secours.
- Pour les fournisseurs personnalisés ou auto-hébergés, consultez Fournisseurs personnalisés dans la référence.
Contrôler qui peut envoyer des messages au bot
L’accès aux messages privés est contrôlé pour chaque canal via dmPolicy (valeur par défaut : "pairing") :
"pairing": les expéditeurs inconnus reçoivent un code d’association à usage unique à approuver"allowlist": uniquement les expéditeurs figurant dansallowFrom(ou dans le registre des associations autorisées)"open": autoriser tous les messages privés entrants (nécessiteallowFrom: ["*"])"disabled": ignorer tous les messages privés
Pour les groupes, utilisez groupPolicy ("allowlist" | "open" | "disabled") avec groupAllowFrom ou les listes d’autorisation propres au canal.
Consultez la référence complète pour obtenir les détails propres à chaque canal.
Configurer l’obligation de mention dans les conversations de groupe
Par défaut, les messages de groupe nécessitent une mention. Configurez les motifs de déclenchement pour chaque agent. Les réponses normales dans les groupes et les canaux sont publiées automatiquement ; activez explicitement le chemin de l’outil de messagerie pour les salons partagés où l’agent doit décider quand intervenir :
{ messages: { visibleReplies: "automatic", // définir sur "message_tool" pour exiger des envois via l’outil de messagerie partout groupChat: { visibleReplies: "message_tool", // activation explicite ; la sortie visible nécessite message(action=send) unmentionedInbound: "room_event", // les échanges permanents sans mention dans le groupe servent de contexte silencieux }, }, agents: { list: [ { id: "main", groupChat: { mentionPatterns: ["@openclaw", "openclaw"], }, }, ], }, channels: { whatsapp: { groups: { "*": { requireMention: true } }, }, },}- Mentions dans les métadonnées : mentions @ natives (mention par toucher dans WhatsApp, @bot dans Telegram, etc.)
- Motifs textuels : motifs d’expressions régulières sûrs dans
mentionPatterns - Réponses visibles :
messages.visibleRepliespeut exiger globalement des envois via l’outil de messagerie ;messages.groupChat.visibleRepliesremplace ce réglage pour les groupes et les canaux. - Consultez la référence complète pour les modes de réponse visible, les remplacements propres à chaque canal et le mode de conversation avec soi-même.
Restreindre les Skills par agent
Utilisez agents.defaults.skills comme base commune, puis remplacez-la pour des
agents spécifiques avec agents.list[].skills :
{ agents: { defaults: { skills: ["github", "weather"], }, list: [ { id: "writer" }, // hérite de github, weather { id: "docs", skills: ["docs-search"] }, // remplace les valeurs par défaut { id: "locked-down", skills: [] }, // aucun skill ], },}- Omettez
agents.defaults.skillspour ne pas restreindre les Skills par défaut. - Omettez
agents.list[].skillspour hériter des valeurs par défaut. - Définissez
agents.list[].skills: []pour n’autoriser aucun skill. - Consultez Skills, la configuration des Skills et la référence de configuration.
Ajuster la surveillance de l’état des canaux du Gateway
Contrôlez avec quelle agressivité le Gateway redémarre les canaux qui semblent obsolètes :
{ gateway: { channelHealthCheckMinutes: 5, channelStaleEventThresholdMinutes: 30, channelMaxRestartsPerHour: 10, }, channels: { telegram: { healthMonitor: { enabled: false }, accounts: { alerts: { healthMonitor: { enabled: true }, }, }, }, },}- Les valeurs affichées sont les valeurs par défaut. Définissez
gateway.channelHealthCheckMinutes: 0pour désactiver globalement les redémarrages déclenchés par la surveillance de l’état. channelStaleEventThresholdMinutesdoit être supérieur ou égal à l’intervalle de vérification.- Utilisez
channels.<provider>.healthMonitor.enabledouchannels.<provider>.accounts.<id>.healthMonitor.enabledpour désactiver les redémarrages automatiques d’un canal ou d’un compte sans désactiver la surveillance globale. - Consultez les vérifications d’état pour le diagnostic opérationnel et la référence complète pour tous les champs.
Ajuster le délai d’expiration de la négociation WebSocket du Gateway
Accordez davantage de temps aux clients locaux pour terminer la négociation WebSocket préalable à l’authentification sur les hôtes très sollicités ou peu puissants :
{ gateway: { handshakeTimeoutMs: 30000, },}- La valeur par défaut est de
15000millisecondes. OPENCLAW_HANDSHAKE_TIMEOUT_MSreste prioritaire pour les remplacements ponctuels dans un service ou un shell.- Corrigez d’abord les blocages au démarrage ou dans la boucle d’événements ; ce réglage est destiné aux hôtes sains mais lents pendant la mise en route.
Configurer les sessions et les réinitialisations
Les sessions contrôlent la continuité et l’isolation des conversations :
{ session: { dmScope: "per-channel-peer", // recommandé pour plusieurs utilisateurs threadBindings: { enabled: true, idleHours: 24, maxAgeHours: 0, }, reset: { mode: "daily", atHour: 4, idleMinutes: 120, }, },}dmScope:main(partagée) |per-peer|per-channel-peer|per-account-channel-peerthreadBindings: valeurs par défaut globales pour le routage des sessions liées à un fil./focus,/unfocus,/agents,/session idleet/session max-agepermettent de lier, délier, répertorier et ajuster ce paramètre pour chaque session (Discord lie les fils, Telegram lie les sujets/conversations).- Consultez Gestion des sessions pour la portée, les liens d’identité et la politique d’envoi.
- Consultez la référence complète pour tous les champs.
Activer le bac à sable
Exécutez les sessions d’agent dans des environnements d’exécution isolés :
{ agents: { defaults: { sandbox: { mode: "non-main", // off | non-main | all scope: "agent", // session | agent | shared }, }, },}Créez d’abord l’image : depuis une copie de travail des sources, exécutez scripts/sandbox-setup.sh ; depuis une installation npm, consultez la commande docker build intégrée dans Bac à sable § Images et configuration.
Consultez l’isolation en bac à sable pour le guide complet et la référence complète pour toutes les options.
Activer les notifications push via relais pour les versions iOS officielles
Les notifications push via relais pour les versions publiques de l’App Store utilisent le relais OpenClaw hébergé : https://ios-push-relay.openclaw.ai.
Les déploiements de relais personnalisés nécessitent un processus de compilation et de déploiement iOS délibérément distinct, dont l’URL du relais correspond à celle du relais du Gateway. Si vous utilisez une version avec relais personnalisé, définissez ceci dans la configuration du Gateway :
{ gateway: { push: { apns: { relay: { baseUrl: "https://relay.example.com", // Facultatif. Valeur par défaut : 10000 timeoutMs: 10000, }, }, }, },}Équivalent en CLI :
openclaw config set gateway.push.apns.relay.baseUrl https://relay.example.comFonctionnement :
- Permet au Gateway d’envoyer
push.test, des sollicitations de réveil et des réveils de reconnexion par l’intermédiaire du relais externe. - Utilise une autorisation d’envoi limitée à l’inscription, transmise par l’application iOS appairée. Le Gateway n’a pas besoin d’un jeton de relais valable pour l’ensemble du déploiement.
- Lie chaque inscription reposant sur le relais à l’identité du Gateway avec lequel l’application iOS a été appairée, afin qu’un autre Gateway ne puisse pas réutiliser l’inscription enregistrée.
- Maintient les builds iOS locaux/manuels sur une connexion APNs directe. Les envois reposant sur le relais s’appliquent uniquement aux builds officiels distribués qui se sont inscrits par l’intermédiaire du relais.
- Doit correspondre à l’URL de base du relais intégrée au build iOS, afin que le trafic d’inscription et d’envoi atteigne le même déploiement du relais.
Flux de bout en bout :
- Installez l’application iOS officielle.
- Facultatif : configurez
gateway.push.apns.relay.baseUrlsur le Gateway uniquement si vous utilisez intentionnellement un build personnalisé avec un relais distinct. - Appairez l’application iOS avec le Gateway et laissez les sessions du Node et de l’opérateur se connecter.
- L’application iOS récupère l’identité du Gateway, s’inscrit auprès du relais à l’aide d’App Attest et du reçu de l’application, puis publie la charge utile
push.apns.registerreposant sur le relais auprès du Gateway appairé. - Le Gateway enregistre l’identifiant du relais et l’autorisation d’envoi, puis les utilise pour
push.test, les sollicitations de réveil et les réveils de reconnexion.
Notes opérationnelles :
- Si vous associez l’application iOS à un autre Gateway, reconnectez l’application afin qu’elle puisse publier une nouvelle inscription auprès du relais, liée à ce Gateway.
- Si vous publiez un nouveau build iOS qui pointe vers un autre déploiement du relais, l’application actualise son inscription au relais mise en cache au lieu de réutiliser l’ancienne origine du relais.
Remarque sur la compatibilité :
OPENCLAW_APNS_RELAY_BASE_URLetOPENCLAW_APNS_RELAY_TIMEOUT_MSfonctionnent toujours comme substitutions temporaires par variables d’environnement.- Les URL de relais personnalisées du Gateway doivent correspondre à l’URL de base du relais intégrée au build iOS ; le canal de publication public de l’App Store rejette les substitutions d’URL de relais iOS personnalisées.
OPENCLAW_APNS_RELAY_ALLOW_HTTP=truereste un mécanisme de contournement réservé au développement en boucle locale ; n’enregistrez pas d’URL de relais HTTP dans la configuration.
Consultez Application iOS pour le flux de bout en bout et Flux d’authentification et de confiance pour le modèle de sécurité du relais.
Configurer le Heartbeat (contrôles périodiques)
{ agents: { defaults: { heartbeat: { every: "30m", target: "last", }, }, },}every: chaîne de durée (30m,2h). Définissez-la sur0mpour désactiver cette fonction. Valeur par défaut :30m.target:last|none|<channel-id>(par exemplediscord,matrix,telegramouwhatsapp)directPolicy:allow(par défaut) oublockpour les cibles de Heartbeat de type message privé- Consultez Heartbeat pour le guide complet.
Configurer les tâches Cron
{ cron: { enabled: true, maxConcurrentRuns: 8, // valeur par défaut ; répartition Cron + exécution isolée des tours d’agent Cron sessionRetention: "24h", runLog: { maxBytes: "2mb", keepLines: 2000, }, },}sessionRetention: supprime les sessions d’exécution isolées terminées des lignes de session SQLite (valeur par défaut :24h; définissez surfalsepour désactiver cette suppression).runLog: supprime, pour chaque tâche, les lignes conservées de l’historique des exécutions Cron. L’historique est stocké dans SQLite ;maxBytes(valeur par défaut :2_000_000) est conservé à des fins de compatibilité avec les anciens journaux d’exécution stockés dans des fichiers, etkeepLinesvaut2000par défaut.- Consultez Tâches Cron pour une présentation de la fonctionnalité et des exemples de CLI.
Configurer les Webhooks (hooks)
Activez les points de terminaison HTTP de Webhook sur le Gateway :
{ hooks: { enabled: true, token: "shared-secret", path: "/hooks", defaultSessionKey: "hook:ingress", allowRequestSessionKey: false, allowedSessionKeyPrefixes: ["hook:"], mappings: [ { match: { path: "gmail" }, action: "agent", agentId: "main", deliver: true, }, ], },}Remarque de sécurité :
- Traitez tout le contenu des charges utiles de hook/Webhook comme une entrée non fiable.
- Utilisez un
hooks.tokendédié ; ne réutilisez pas les secrets d’authentification actifs du Gateway (gateway.auth.token/OPENCLAW_GATEWAY_TOKENougateway.auth.password/OPENCLAW_GATEWAY_PASSWORD). - L’authentification des hooks s’effectue uniquement par en-tête (
Authorization: Bearer ...oux-openclaw-token) ; les jetons dans la chaîne de requête sont refusés. hooks.pathne peut pas être/; conservez l’entrée des Webhooks sur un sous-chemin dédié tel que/hooks.- Laissez désactivés les indicateurs de contournement du filtrage de contenu dangereux (
hooks.gmail.allowUnsafeExternalContent,hooks.mappings[].allowUnsafeExternalContent), sauf lors d’un débogage au périmètre strictement limité. - Si vous activez
hooks.allowRequestSessionKey, définissez égalementhooks.allowedSessionKeyPrefixesafin de limiter les clés de session sélectionnées par l’appelant. - Pour les agents pilotés par des hooks, privilégiez des niveaux de modèles modernes et performants ainsi qu’une politique d’outils stricte (par exemple, messagerie uniquement, avec mise en bac à sable lorsque cela est possible).
Consultez la référence complète pour toutes les options de mappage et l’intégration Gmail.
Configurer le routage multi-agent
Exécutez plusieurs agents isolés avec des espaces de travail et des sessions distincts :
{ agents: { list: [ { id: "home", default: true, workspace: "~/.openclaw/workspace-home" }, { id: "work", workspace: "~/.openclaw/workspace-work" }, ], }, bindings: [ { agentId: "home", match: { channel: "whatsapp", accountId: "personal" } }, { agentId: "work", match: { channel: "whatsapp", accountId: "biz" } }, ],}Consultez Multi-agent et la référence complète pour les règles de liaison et les profils d’accès propres à chaque agent.
Répartir la configuration dans plusieurs fichiers ($include)
Utilisez $include pour organiser les configurations volumineuses :
// ~/.openclaw/openclaw.json{ gateway: { port: 18789 }, agents: { $include: "./agents.json5" }, broadcast: { $include: ["./clients/a.json5", "./clients/b.json5"], },}- Fichier unique : remplace l’objet conteneur
- Tableau de fichiers : fusion profonde dans l’ordre (le dernier prévaut), jusqu’à 10 niveaux d’imbrication
- Clés sœurs : fusionnées après les inclusions (elles remplacent les valeurs incluses)
- Chemins relatifs : résolus par rapport au fichier qui effectue l’inclusion
- Format des chemins : les chemins d’inclusion ne doivent pas contenir d’octets nuls et doivent comporter strictement moins de 4096 caractères avant et après leur résolution
- Écritures effectuées par OpenClaw : lorsqu’une écriture ne modifie qu’une seule section de premier niveau
reposant sur l’inclusion d’un fichier unique, telle que
plugins: { $include: "./plugins.json5" }, OpenClaw met à jour ce fichier inclus et laisseopenclaw.jsonintact - Écriture propagée non prise en charge : les inclusions à la racine, les tableaux d’inclusions et les inclusions comportant des remplacements par des clés sœurs échouent de manière sécurisée pour les écritures effectuées par OpenClaw au lieu d’aplatir la configuration
- Confinement : les chemins
$includedoivent être résolus sous le répertoire contenantopenclaw.json. Pour partager une arborescence entre plusieurs machines ou utilisateurs, définissezOPENCLAW_INCLUDE_ROOTSsur une liste de chemins (:sous POSIX,;sous Windows) vers des répertoires supplémentaires auxquels les inclusions peuvent faire référence. Les liens symboliques sont résolus puis vérifiés à nouveau : un chemin situé lexicalement dans un répertoire de configuration, mais dont la cible réelle se trouve en dehors de toutes les racines autorisées, est donc tout de même refusé. - Gestion des erreurs : messages d’erreur clairs pour les fichiers manquants, les erreurs d’analyse, les inclusions circulaires, les formats de chemin non valides et les longueurs excessives
Rechargement à chaud de la configuration
Le Gateway surveille ~/.openclaw/openclaw.json et applique automatiquement les modifications : aucun redémarrage manuel n’est nécessaire pour la plupart des paramètres.
Les modifications directes du fichier sont considérées comme non fiables jusqu’à ce qu’elles soient validées. Le mécanisme de surveillance attend
la fin des écritures temporaires et des renommages effectués par l’éditeur, lit le fichier final et refuse
les modifications externes non valides sans réécrire openclaw.json. Les écritures de configuration
effectuées par OpenClaw passent par le même contrôle de schéma avant l’écriture (consultez Validation stricte
pour les règles d’écrasement et de restauration qui s’appliquent à chaque écriture).
Si vous voyez config reload skipped (invalid config) ou si le démarrage signale Invalid config, examinez la configuration, exécutez openclaw config validate, puis exécutez openclaw doctor --fix pour la réparer. Consultez Dépannage du Gateway
pour accéder à la liste de vérification.
Modes de rechargement
| Mode | Comportement |
|---|---|
hybrid (par défaut) |
Applique instantanément à chaud les modifications sûres. Redémarre automatiquement pour les modifications critiques. |
hot |
Applique à chaud uniquement les modifications sûres. Consigne un avertissement lorsqu’un redémarrage est nécessaire : vous devez l’effectuer. |
restart |
Redémarre le Gateway à chaque modification de la configuration, qu’elle soit sûre ou non. |
off |
Désactive la surveillance du fichier. Les modifications prennent effet au prochain redémarrage manuel. |
{ gateway: { reload: { mode: "hybrid", debounceMs: 300 }, },}Modifications appliquées à chaud et modifications nécessitant un redémarrage
La plupart des champs sont appliqués à chaud sans interruption ; certaines sections appliquées à chaud redémarrent uniquement le sous-système concerné (canal, Cron, Heartbeat, moniteur d’intégrité), plutôt que l’ensemble du Gateway. En mode
hybrid, les modifications nécessitant un redémarrage du Gateway sont gérées automatiquement.
| Catégorie | Champs | Redémarrage du Gateway nécessaire ? |
|---|---|---|
| Canaux | channels.*, web (WhatsApp) — tous les canaux intégrés et de plugins |
Non (redémarre ce canal) |
| Agent et modèles | agent, agents, models, routing |
Non |
| Automatisation | hooks, cron, agent.heartbeat |
Non (redémarre ce sous-système) |
| Sessions et messages | session, messages |
Non |
| Outils et médias | tools, skills, mcp, audio, talk |
Non |
| Configuration des plugins | plugins.entries.*, plugins.allow, plugins.deny, plugins.enabled |
Non (recharge l’environnement d’exécution des plugins) |
| Interface et divers | ui, logging, identity, bindings |
Non |
| Serveur Gateway | gateway.* (port, liaison, authentification, Tailscale, TLS, HTTP, push) |
Oui |
| Infrastructure | discovery, browser, plugins.load, plugins.installs |
Oui |
Planification du rechargement
Lorsque vous modifiez un fichier source référencé par $include, OpenClaw planifie
le rechargement à partir de la structure définie dans les sources, et non de la vue aplatie en mémoire.
Ainsi, les décisions de rechargement à chaud (application à chaud ou redémarrage) restent prévisibles, même lorsqu’une
section de premier niveau entière se trouve dans son propre fichier inclus, comme
plugins: { $include: "./plugins.json5" }. La planification du rechargement échoue de manière sécurisée si la
structure des sources est ambiguë.
RPC de configuration (mises à jour programmatiques)
Pour les outils qui écrivent la configuration via l’API du Gateway, privilégiez ce flux :
config.schema.lookuppour examiner une sous-arborescence (nœud de schéma superficiel et résumés des enfants)config.getpour récupérer l’instantané actuel ainsi que sonhashconfig.patchpour les mises à jour partielles (correctif de fusion JSON : les objets sont fusionnés,nullsupprime, et les tableaux sont remplacés lorsqu’ils sont explicitement confirmés avecreplacePathssi des entrées devaient être supprimées)config.applyuniquement lorsque vous souhaitez remplacer l’intégralité de la configurationupdate.runpour effectuer explicitement une mise à jour automatique suivie d’un redémarrage ; incluezcontinuationMessagelorsque la session après redémarrage doit exécuter un tour de suiviupdate.statuspour examiner la dernière sentinelle de redémarrage de mise à jour et vérifier la version en cours d’exécution après un redémarrage
Les agents doivent considérer config.schema.lookup comme le premier point de consultation pour obtenir la documentation et les contraintes exactes
au niveau des champs. Utilisez la référence de configuration
lorsqu’ils ont besoin de la vue d’ensemble de la configuration, des valeurs par défaut ou de liens vers les références
dédiées aux sous-systèmes.
Exemple de correctif partiel :
openclaw gateway call config.get --params '{}' # capturer payload.hashopenclaw gateway call config.patch --params '{ "raw": "{ channels: { telegram: { groups: { \"*\": { requireMention: false } } } } }", "baseHash": "<hash>"}'config.apply et config.patch acceptent tous deux raw, baseHash, sessionKey,
note et restartDelayMs. baseHash est obligatoire pour les deux méthodes dès qu’un
fichier de configuration existe déjà (une première écriture sans configuration existante ignore cette vérification).
config.patch accepte également replacePaths, un tableau de chemins de configuration dont le remplacement
du tableau est intentionnel. Si un correctif remplace ou supprime un tableau existant
par un tableau comportant moins d’entrées, le Gateway rejette l’écriture, sauf si ce chemin exact figure
dans replacePaths ; les tableaux imbriqués dans des entrées de tableau utilisent [], comme
agents.list[].skills. Cela empêche les instantanés config.get tronqués
d’écraser silencieusement les tableaux de routage ou de listes d’autorisation. Utilisez config.apply lorsque vous
souhaitez remplacer l’intégralité de la configuration.
Variables d’environnement
OpenClaw lit les variables d’environnement du processus parent ainsi que depuis :
.envdans le répertoire de travail actuel (s’il existe)~/.openclaw/.env(solution de repli globale)
Aucun de ces fichiers ne remplace les variables d’environnement existantes. Vous pouvez également définir des variables d’environnement directement dans la configuration :
{ env: { OPENROUTER_API_KEY: "sk-or-...", vars: { GROQ_API_KEY: "gsk-..." }, },}Importation de l’environnement du shell (facultatif)
Si cette option est activée et que les clés attendues ne sont pas définies, OpenClaw exécute votre shell de connexion et importe uniquement les clés manquantes :
{env: { shellEnv: { enabled: true, timeoutMs: 15000 },},}Variable d’environnement équivalente : OPENCLAW_LOAD_SHELL_ENV=1. Valeur par défaut de timeoutMs : 15000.
Substitution des variables d’environnement dans les valeurs de configuration
Référencez les variables d’environnement dans toute valeur de configuration de type chaîne avec ${VAR_NAME} :
{gateway: { auth: { token: "${OPENCLAW_GATEWAY_TOKEN}" } },models: { providers: { custom: { apiKey: "${CUSTOM_API_KEY}" } } },}Règles :
- Seuls les noms en majuscules correspondant à
[A-Z_][A-Z0-9_]*sont pris en compte - Les variables manquantes ou vides provoquent une erreur au chargement
- Échappez avec
$${VAR}pour obtenir une sortie littérale - Fonctionne dans les fichiers
$include - Substitution intégrée :
"${BASE}/v1"→"https://api.example.com/v1"
Références de secrets (env, fichier, exécution)
Pour les champs prenant en charge les objets SecretRef, vous pouvez utiliser :
{models: { providers: { openai: { apiKey: { source: "env", provider: "default", id: "OPENAI_API_KEY" } }, },},skills: { entries: { "image-lab": { apiKey: { source: "file", provider: "filemain", id: "/skills/entries/image-lab/apiKey", }, }, },},channels: { googlechat: { serviceAccountRef: { source: "exec", provider: "vault", id: "channels/googlechat/serviceAccount", }, },},}Les détails de SecretRef (y compris secrets.providers pour env/file/exec) se trouvent dans la gestion des secrets.
Les chemins d’identifiants pris en charge sont répertoriés dans la surface des identifiants SecretRef.
Consultez Environnement pour connaître l’ordre de priorité complet et les sources.
Référence complète
Pour la référence complète champ par champ, consultez la référence de configuration.
À lire également : Exemples de configuration · Référence de configuration · Doctor