---
read_when:
    - Вы завершили настройку инференса и хотите, чтобы Crestodian настроил всё остальное
    - Вам нужно проверить или восстановить OpenClaw с помощью локального агента настройки
    - Вы проектируете или включаете режим восстановления канала сообщений
summary: Справочник по CLI и модель безопасности для помощника по настройке и восстановлению Crestodian на базе инференса
title: Crestodian
x-i18n:
    generated_at: "2026-07-13T17:57:39Z"
    model: gpt-5.6
    postprocess_version: locale-links-v1
    prompt_version: 24
    provider: openai
    source_hash: af4861a48fb26159cb8e0c29d08ab5c3776283eb5392dcbe08c9a28d01f4abf5
    source_path: cli/crestodian.md
    workflow: 16
---

# `openclaw crestodian`

Conversational Crestodian — локальный агент OpenClaw для первоначальной настройки, восстановления и конфигурирования. Он запускается только после того, как фактически используемая модель по умолчанию успешно выполнит реальный запрос. При новой установке сначала настраивается инференс; некорректная конфигурация обрабатывается классическим механизмом doctor.

## Когда он запускается

Запуск `openclaw` без подкоманды выбирает маршрут в зависимости от состояния конфигурации:

- Конфигурация отсутствует либо существует, но не содержит заданных пользователем настроек (пуста или содержит только ключи `$schema`/`meta`): запускается пошаговая первоначальная настройка с проверкой ИИ в реальном времени.
- Конфигурация существует, но не проходит валидацию: запускается классическая первоначальная настройка, которая сообщает о проблемах и предлагает выполнить `openclaw doctor`.
- Конфигурация существует и корректна: открывается обычный TUI агента. Если настроенный Gateway доступен, а у его агента по умолчанию есть модель, этот интерфейс открывается сразу,
  без первоначальной настройки или Crestodian. Чтобы позже перейти к Crestodian, выполните `/crestodian` в TUI
  либо запустите `openclaw crestodian` напрямую.

При запуске `openclaw crestodian` сначала выполняется проверка настроенной модели по умолчанию реальным запросом. Если запрос проходит успешно, запускается Crestodian. При ошибке в интерактивном режиме открывается пошаговая настройка инференса, а после успешной проверки подходящего варианта управление передаётся Crestodian. Однократные запросы, JSON-запросы и другие неинтерактивные запросы при недоступном инференсе завершаются ошибкой с инструкцией выполнить `openclaw onboard`. Для `openclaw --help` и `openclaw --version` сохраняются обычные быстрые маршруты.

Неинтерактивный запуск только `openclaw` (без TTY) завершается с кратким сообщением вместо вывода корневой справки: при новой или некорректной установке оно указывает на неинтерактивную первоначальную настройку, а при корректной конфигурации — на `openclaw agent --local ...`.

`openclaw onboard --modern` остаётся псевдонимом Crestodian для совместимости, но использует ту же проверку инференса: при работающем инференсе открывается чат, при ошибке в интерактивном режиме запускается пошаговая настройка инференса, а при ошибке в неинтерактивном режиме процесс завершается с рекомендацией выполнить первоначальную настройку. `openclaw onboard --classic` открывает полный пошаговый мастер.

## Что показывает Crestodian

Интерактивный Crestodian открывает ту же оболочку TUI, что и `openclaw tui`, но с чат-бэкендом Crestodian. Начальное приветствие содержит:

- сведения о корректности конфигурации и агенте по умолчанию
- проверенную модель, которую использует Crestodian
- сведения о доступности Gateway по результатам первой проверки при запуске
- следующее рекомендуемое действие для диагностики

При запуске он не выводит секреты и не загружает CLI-команды плагинов без необходимости.

Для просмотра подробной сводки используйте `status`: путь к конфигурации, пути к документации и исходному коду, результаты локальных проверок CLI, наличие ключей и токенов, сведения об агентах, модели и Gateway.

Crestodian использует тот же механизм поиска справочных материалов, что и обычные агенты: в рабочей копии Git он указывает на локальный `docs/` и дерево исходного кода; при установке из npm он использует встроенную документацию и ссылку [https://github.com/openclaw/openclaw](https://github.com/openclaw/openclaw), рекомендуя обратиться к исходному коду, если документации недостаточно.

## Примеры

```bash
openclaw
openclaw crestodian
openclaw crestodian --json
openclaw crestodian --message "модели"
openclaw crestodian --message "проверить конфигурацию"
openclaw crestodian --message "настроить рабочее пространство ~/Projects/work" --yes
openclaw crestodian --message "задать модель по умолчанию openai/gpt-5.6" --yes
openclaw onboard --modern
```

В TUI Crestodian:

```text
статус
работоспособность
doctor
проверить конфигурацию
настройка
настроить рабочее пространство ~/Projects/work
config set gateway.port 19001
config set-ref gateway.auth.token env OPENCLAW_GATEWAY_TOKEN
статус gateway
перезапустить gateway
агенты
создать агента work с рабочим пространством ~/Projects/work
модели
настроить провайдера модели
задать модель по умолчанию openai/gpt-5.6
каналы
информация о канале slack
подключить slack
открыть мастер настройки канала для slack
список плагинов
искать плагины slack
установить плагин clawhub:openclaw-codex-app-server
поговорить с агентом work
поговорить с агентом для ~/Projects/work
аудит
выход
```

## Операции и подтверждение

Crestodian использует типизированные операции, а не произвольное редактирование конфигурации.

Операции только для чтения выполняются немедленно: показать обзор, вывести список агентов, вывести список установленных плагинов, найти плагины ClawHub, показать состояние модели и бэкенда, выполнить проверки статуса и работоспособности, проверить доступность Gateway, запустить doctor без интерактивных исправлений, проверить конфигурацию, показать путь к журналу аудита.

Запуск пошаговой настройки канала (`connect telegram`) также выполняется немедленно. Мастер запрашивает явные ответы и самостоятельно выполняет необходимые операции записи.

Для постоянных изменений требуется подтверждение в диалоге (либо `--yes` для прямой команды): запись конфигурации, `config set`, `config set-ref`, начальная подготовка через настройку или первоначальную настройку, изменение модели по умолчанию, запуск, остановка или перезапуск Gateway, создание агентов и установка плагинов.

Исправления doctor недоступны внутри Crestodian, поскольку они могут изменить провайдера, аутентификацию или маршрут инференса агента по умолчанию, от которого зависит текущий сеанс. Выйдите из Crestodian и выполните `openclaw doctor --fix` в терминале. Доступная только для чтения команда `doctor` по-прежнему работает внутри Crestodian.

Новые агенты наследуют проверенный в реальном времени маршрут инференса по умолчанию. Идентификатор агента `crestodian` зарезервирован для привилегированного виртуального хранителя и не может использоваться при создании обычного агента.

`config set` и `config set-ref` не могут изменять состояние маршрута инференса,
включая учётные данные провайдера инференса, верхнеуровневый `auth.*`, каталоги моделей,
бэкенды CLI, маршруты моделей по умолчанию и для отдельных агентов, параметры и инструменты агентов, а также корневой
`tools.*`. Необработанные записи в `env.*`, `secrets.*`, `plugins.*` и `$include`
также отклоняются, поскольку они могут подменить механизм разрешения учётных данных или
активацию провайдера. Аутентификация Gateway и каналов остаётся обычной частью конфигурации. Используйте типизированные рабочие процессы плагинов и каналов, а
`set default model <provider/model>` — для уже
настроенного маршрута; перед сохранением маршрут проверяется в реальном времени. Чтобы настроить или
восстановить доступ к провайдеру и аутентификации, выйдите из Crestodian и выполните `openclaw onboard`.

Удаление плагинов внутри Crestodian запрещено, поскольку удаление плагина
провайдера может отключить маршрут инференса, от которого зависит текущий сеанс. Выйдите из Crestodian
и выполните `openclaw plugins uninstall <id>` в терминале.

Подтверждение даётся своими словами: однозначные ответы («да», «конечно», «продолжить», «не сейчас») распознаются по закрытому детерминированному списку. Если настроенный маршрут поддерживает отдельный вызов генерации, остальные ответы могут классифицироваться исключительно на основе вашего сообщения и ожидающего подтверждения предложения — но не самой диалоговой моделью, которая не может подтвердить собственные действия. Если ответ не распознан или неоднозначен, предложение остаётся в ожидании, а система повторно запрашивает подтверждение.

Выполненные операции записи регистрируются в `~/.openclaw/audit/crestodian.jsonl`. Обнаружение не аудируется; в журнал попадают только применённые операции и записи.

Настройка канала может выполняться в виде размещённого диалога, пока не потребуется секрет. Локальный TUI Crestodian не принимает конфиденциальные ответы мастера, поскольку ввод в терминальном чате виден. Он немедленно предлагает `open channel wizard`, передавая
выбранный канал терминальному мастеру с маскированным вводом; позже также можно выполнить
`openclaw channels add --channel <channel>`.

### Переход к настройке канала с маскированным вводом

Локальный чат может передать управление мастеру настройки канала с маскированным вводом:

```text
открыть мастер настройки канала для slack
информация о канале slack
```

`open channel wizard for <channel>` открывает настройку канала с маскированным вводом после закрытия
TUI чата. Сначала используйте `channel info <channel>`, чтобы получить название канала, состояние настройки,
краткое описание предварительных требований и ссылку на документацию.

Crestodian никогда не изменяет доступ к провайдеру или аутентификации из собственного сеанса:
сеанс уже зависит от этого маршрута инференса. При настройке или
восстановлении провайдера модели `configure model provider` возвращает рекомендацию выйти и выполнить первоначальную настройку,
не запуская мастер и не записывая конфигурацию. Выйдите из Crestodian и выполните `openclaw
onboard`; первоначальная настройка подготавливает учётные данные и сохраняет только тот маршрут, который
успешно выполняет реальный запрос. После успешного завершения первоначальной настройки снова запустите Crestodian.

## Начальная подготовка

`setup` настраивает оставшееся состояние рабочего пространства и Gateway после того, как пошаговая первоначальная настройка уже настроила инференс. Запись выполняется только через типизированные операции конфигурации и только после запроса подтверждения.

```text
настройка
настроить рабочее пространство ~/Projects/work
```

`setup` сохраняет проверенную фактически используемую модель. Он не настраивает и не
заменяет инференс.

Если инференс отсутствует или не проходит проверку в реальном времени, выйдите из Crestodian и выполните `openclaw onboard`. Пошаговая первоначальная настройка обнаруживает настроенные модели, ключи API и аутентифицированные локальные CLI, запрашивает у каждого кандидата реальный ответ и сохраняет только успешно прошедший проверку маршрут. Сразу после этого этапа запускается Crestodian, в котором можно настроить рабочее пространство, Gateway, каналы, агентов, плагины и другие необязательные возможности.

Приложение macOS полностью пропускает эту последовательность, если подключается к настроенному Gateway,
у агента по умолчанию которого уже настроена модель; оно открывает обычный
интерфейс агента.
Для нового или не полностью настроенного Gateway приложение выполняет последовательность настройки инференса через
методы Gateway `crestodian.setup.detect` и `crestodian.setup.activate`:
detect выводит все обнаруженные подходящие бэкенды, activate проверяет один
вариант в реальном времени (настоящий запрос «ответьте OK») и только после успешной проверки сохраняет модель,
учётные данные и состояние провайдера или среды выполнения, необходимые для этого маршрута. Настройки рабочего пространства и Gateway по умолчанию остаются задачей Crestodian. Не прошедший проверку вариант
никогда не изменяет конфигурацию; приложение автоматически перебирает следующие варианты
и в конце предлагает вручную ввести ключ или токен, используя данные активных
плагинов провайдеров текстового инференса Gateway. Выбранный провайдер определяет начальную модель
и конфигурацию, а учётные данные перед сохранением проверяются тем же способом.

Управление Codex и другие необязательные возможности плагинов не входят в эту
транзакцию активации инференса. Настраивайте их только после того, как инференс
заработает и запустится Crestodian; существующие политики плагинов и явно заданные
отказы от управления при настройке инференса не изменяются.

## Диалог с ИИ

Свободный диалог интерактивного Crestodian выполняется через тот же цикл агента, что и у обычных агентов OpenClaw, но ограничен одним инструментом OpenClaw с полномочиями нулевого кольца — `crestodian`, который предоставляет типизированные операции. Операции чтения выполняются свободно, изменения требуют вашего подтверждения в диалоге именно для этой операции (см. раздел «Операции и подтверждение»), а каждая применённая запись аудируется и повторно проверяется. Сеанс агента сохраняется, поэтому Crestodian обладает полноценной многоходовой памятью. Если проверенный маршрут инференса впоследствии перестанет работать, вернитесь к `openclaw onboard` и восстановите его, прежде чем продолжить.

Хост не преобразует запросы на естественном языке в операции. Свободные
сообщения — включая текст, похожий на команды, и вопросы вроде «почему мой
gateway остановился?» — передаются ИИ, который может сопоставить запрос с типизированной операцией
через инструмент `crestodian`.

Когда изменение ожидает подтверждения, без инференса обрабатываются только однозначные фразы
подтверждения или отказа из закрытого списка. Неоднозначное согласие передаётся
отдельному настроенному вызову генерации, а при его недоступности отклоняется. Структурированные
поля мастера и точная навигация хоста являются элементами управления интерфейса, а не механизмом разбора
операций на естественном языке. Особенно важно одно исключение, обеспечивающее защиту секретов:
точная операция `config set` для конфиденциального пути (токенов, ключей, паролей) никогда не передаётся
модели. Хост создаёт предложение с удалёнными конфиденциальными данными, а значение маскируется в
видимой ИИ истории. Для секретов предпочтительно использовать `config set-ref <path> env <ENV_VAR>`.

Режим восстановления через канал сообщений никогда не использует планировщик с поддержкой модели. Удалённое восстановление остаётся детерминированным, чтобы неисправный или скомпрометированный обычный маршрут агента нельзя было использовать в качестве редактора конфигурации.

### Модель доверия оболочки CLI

Встроенные среды выполнения и оболочка app-server Codex напрямую обеспечивают ограничение нулевого кольца:
запуск получает список разрешённых инструментов OpenClaw, содержащий только
инструмент `crestodian`. Для Codex OpenClaw также отключает в этом запуске среды,
нативное выполнение, мультиагентный режим, цели, приложения и плагины, Skills/MCP, веб-поиск и
поверхности `request_user_input`. Codex по-прежнему внедряет свою неактивную нативную служебную команду `update_plan`;
она может обновлять временный контрольный список модели, но не может записывать файлы
или конфигурацию OpenClaw. Оболочки CLI не используют список разрешённых инструментов OpenClaw,
поэтому Crestodian допускает только те бэкенды, чей собственный контракт выбора инструментов может гарантировать
такое же ограничение:

- Выбираемые бэкенды, включая Claude Code, запускаются с пустым набором
  нативных инструментов и одним инструментом MCP, `crestodian`. Сгенерированная Claude конфигурация MCP
  применяется с помощью `--strict-mcp-config`, поэтому другие серверы MCP не загружаются.
- Бэкенды, не объявляющие нативных инструментов, получают тот же выделенный
  сервер MCP Crestodian.
- Бэкенды с постоянно включёнными или неизвестными нативными инструментами аварийно завершают работу до инференса;
  они не могут размещать сеанс Crestodian.

Сервер MCP crestodian получают только сеансы Crestodian; обычные запуски агента
никогда не видят этот инструмент. Поэтому выбираемые CLI-бэкенды без нативных инструментов и модели
с API-ключами обеспечивают буквальный цикл с единственным инструментом. Модели серверного приложения Codex обеспечивают
единственный полномочный инструмент OpenClaw вместе с неактивной нативной утилитой планирования. Во всех
трёх случаях операции записи при настройке остаются ограничены проверяемым контрактом
утверждения Crestodian.

Gemini CLI остаётся доступным для обычных агентов, но не может обеспечить
проверку без инструментов, требуемую шлюзом инференса, поэтому не может размещать Crestodian.

## Переключение на агента

Используйте селектор на естественном языке, чтобы выйти из Crestodian и открыть обычный TUI:

```text
поговорить с агентом
поговорить с рабочим агентом
переключиться на основного агента
```

`openclaw tui`, `openclaw chat` и `openclaw terminal` открывают обычный TUI агента напрямую; они не запускают Crestodian. После переключения в обычный TUI команда `/crestodian` возвращает в Crestodian, при необходимости с последующим запросом:

```text
/crestodian
/crestodian перезапусти gateway
```

## Режим аварийного восстановления через сообщения

Режим аварийного восстановления через сообщения — это точка входа в Crestodian через канал сообщений: используйте его, если обычный агент не работает, но доверенный канал (например, WhatsApp) всё ещё принимает команды.

Это детерминированный обработчик аварийных команд, а не диалоговый
агент Crestodian. Он не выполняет первоначальную настройку с нуля и не ослабляет шлюз
инференса для чата Crestodian.

Поддерживаемая команда: `/crestodian <request>`. Аварийное восстановление принимает только точную грамматику введённых команд — естественный язык отклоняется с подсказкой, операция никогда не определяется по догадке, и модель никогда не вызывается.

```text
Вы, в доверенной личной переписке владельца: /crestodian status
OpenClaw: Режим аварийного восстановления Crestodian. Gateway доступен: нет. Конфигурация действительна: нет.
Вы: /crestodian restart gateway
OpenClaw: План: перезапустить Gateway. Ответьте /crestodian yes, чтобы применить.
Вы: /crestodian yes
OpenClaw: Применено. Запись аудита создана.
```

Создание агента также можно поставить в очередь локально или через аварийное восстановление:

```text
create agent work workspace ~/Projects/work model openai/gpt-5.6-sol
/crestodian create agent work workspace ~/Projects/work
```

При создании агента можно указать только текущую проверенную в реальном времени модель по умолчанию. Не указывайте
модель, чтобы унаследовать этот маршрут.

Удалённое аварийное восстановление — это административная поверхность, и с ним необходимо обращаться как с удалённым исправлением конфигурации, а не как с обычным чатом.

Контракт безопасности для удалённого аварийного восстановления:

- Отключено, когда для агента или сеанса активна песочница; Crestodian отклоняет удалённое аварийное восстановление и предлагает использовать локальное исправление через CLI.
- Эффективное состояние по умолчанию — `auto`: разрешать удалённое аварийное восстановление только в доверенном режиме YOLO, когда среда выполнения уже имеет локальные полномочия без песочницы (`tools.exec.security` разрешается в `full`, а `tools.exec.ask` разрешается в `off`, при режиме песочницы `off`).
- Требуется явно заданная личность владельца; правила отправителей с подстановочными знаками, открытая групповая политика, неаутентифицированные Webhook и анонимные каналы не допускаются.
- По умолчанию допускаются только личные сообщения владельца; для аварийного восстановления в группе или канале требуется явное включение.
- Поиск и просмотр списка плагинов доступны только для чтения. Установка плагина всегда доступна только локально (заблокирована в режиме аварийного восстановления, даже если в иных случаях разрешена), поскольку она загружает исполняемый код. Удаление плагина запрещено как в локальном Crestodian, так и в режиме аварийного восстановления; выполните `openclaw plugins uninstall <id>` в терминале.
- Удалённое аварийное восстановление не может открыть локальный TUI или переключиться в интерактивный сеанс агента; для передачи управления агенту используйте локальную команду `openclaw`.
- Постоянные операции записи по-прежнему требуют утверждения, даже в режиме аварийного восстановления.
- Каждая применённая операция аварийного восстановления регистрируется в аудите. Для аварийного восстановления через канал сообщений записываются метаданные канала, учётной записи, отправителя и исходного адреса; для операций, изменяющих конфигурацию, также записываются хеши конфигурации до и после изменения.
- Секреты никогда не выводятся. При проверке SecretRef сообщается о доступности, но не о значениях.
- Если Gateway работает, аварийное восстановление предпочитает типизированные операции Gateway; если он не работает, используется только минимальная локальная поверхность исправления, не зависящая от обычного цикла агента.

Структура конфигурации:

```jsonc
{
  "crestodian": {
    "rescue": {
      "enabled": "auto",
      "ownerDmOnly": true,
      "pendingTtlMinutes": 15,
    },
  },
}
```

- `enabled`: `"auto"` (по умолчанию) разрешает аварийное восстановление, только если эффективная среда выполнения работает в режиме YOLO, а песочница отключена; `false` никогда не разрешает аварийное восстановление через канал сообщений; `true` явно разрешает аварийное восстановление, если проверки владельца и канала пройдены (при этом запрет при активной песочнице сохраняется).
- `ownerDmOnly`: ограничивает аварийное восстановление личными сообщениями владельца. Значение по умолчанию — `true`.
- `pendingTtlMinutes`: время, в течение которого ожидающая операция записи аварийного восстановления остаётся доступной для утверждения через `/crestodian yes`, прежде чем истечёт срок её действия. Значение по умолчанию — `15`.

Удалённое аварийное восстановление проверяется в Docker-сценарии:

```bash
pnpm test:docker:crestodian-rescue
```

Опциональная проверка рабочей поверхности команд реального канала тестирует `/crestodian status`, а также полный цикл утверждения постоянной операции через обработчик аварийного восстановления:

```bash
pnpm test:live:crestodian-rescue-channel
```

Пакетная одноразовая настройка со шлюзом инференса проверяется командой:

```bash
pnpm test:docker:crestodian-first-run
```

Этот сценарий пакетного CLI запускается с пустым каталогом состояния и доказывает, что Crestodian
аварийно завершает работу без инференса. Затем он тестирует и активирует поддельный Claude через
пакетный модуль активации. Только после этого неточный запрос достигает
планировщика и преобразуется в типизированную настройку, после чего выполняются одноразовые команды, которые создают
дополнительного агента, настраивают Discord путём включения плагина и добавления токена
SecretRef, проверяют конфигурацию и журнал аудита. Этот сценарий предоставляет вспомогательные
свидетельства работы шлюза и операций; он не проверяет интерактивную первоначальную настройку или
диалог агента Crestodian с инструментами и утверждениями. Приведённый ниже сценарий QA Lab перенаправляет
на тот же Docker-сценарий:

```bash
pnpm openclaw qa suite --scenario crestodian-ring-zero-setup
```

## Связанные материалы

- [Справочник CLI](/ru/cli)
- [Doctor](/ru/cli/doctor)
- [TUI](/ru/cli/tui)
- [Песочница](/ru/cli/sandbox)
- [Безопасность](/ru/cli/security)
