Get started
Крестодіан
openclaw crestodian
Розмовний Crestodian — це локальний агент OpenClaw для початкового налаштування, відновлення та конфігурації. Він запускається лише після того, як фактична модель за замовчуванням виконає реальний хід. У нових інсталяціях спочатку налаштовується інференс; некоректна конфігурація й надалі обробляється класичним шляхом doctor.
Коли він запускається
Запуск openclaw без підкоманди спрямовується залежно від стану конфігурації:
- Конфігурація відсутня або існує без заданих користувачем налаштувань (порожня чи містить лише ключі
$schema/meta): запускається кероване початкове налаштування з перевіркою ШІ наживо. - Конфігурація існує, але не проходить перевірку: запускається класичне початкове налаштування, яке повідомляє про проблеми та спрямовує до
openclaw doctor. - Конфігурація існує та є коректною: відкривається звичайний TUI агента. Доступний налаштований Gateway, агент за замовчуванням якого має модель, відразу відкриває цей інтерфейс без початкового налаштування чи Crestodian. Щоб згодом перейти до Crestodian, скористайтеся
/crestodianу TUI або безпосередньо виконайтеopenclaw crestodian.
Під час запуску openclaw crestodian спочатку виконується перевірка налаштованої моделі за замовчуванням наживо. Успішний хід запускає Crestodian. У разі помилки в інтерактивному режимі відкривається кероване налаштування інференсу, а після успішної перевірки кандидата керування передається Crestodian. Одноразові запити, JSON та інші неінтерактивні запити завершуються помилкою з вказівкою запустити openclaw onboard, якщо інференс недоступний. openclaw --help і openclaw --version зберігають звичайні швидкі шляхи виконання.
Неінтерактивний запуск openclaw без підкоманди (без TTY) завершується з коротким повідомленням замість виведення кореневої довідки: для нової або некоректної інсталяції воно вказує на неінтерактивне початкове налаштування, а для коректної конфігурації — на openclaw agent --local ....
openclaw onboard --modern залишається псевдонімом сумісності для Crestodian, але використовує той самий бар’єр інференсу: працездатний інференс відкриває чат, інтерактивні помилки запускають кероване налаштування інференсу, а неінтерактивні помилки завершують роботу з рекомендаціями щодо початкового налаштування. openclaw onboard --classic відкриває повний покроковий майстер.
Що показує Crestodian
Інтерактивний Crestodian відкриває ту саму оболонку TUI, що й openclaw tui, із чат-бекендом Crestodian. Початкове привітання охоплює:
- коректність конфігурації та агента за замовчуванням
- перевірену модель, яку використовує Crestodian
- доступність Gateway за результатами першої початкової перевірки
- наступну рекомендовану дію для діагностики
Для запуску він не виводить секрети й не завантажує CLI-команди Plugin.
Скористайтеся status, щоб отримати докладний перелік: шлях до конфігурації, шляхи до документації та вихідного коду, локальні перевірки CLI, наявність ключів і токенів, агентів, модель і відомості про Gateway.
Crestodian використовує той самий механізм пошуку довідкових матеріалів, що й звичайні агенти: у Git-репозиторії він вказує на локальні docs/ і дерево вихідного коду; в npm-інсталяції використовує вбудовану документацію та посилається на https://github.com/openclaw/openclaw, рекомендуючи звернутися до вихідного коду, якщо документації недостатньо.
Приклади
openclawopenclaw crestodianopenclaw crestodian --jsonopenclaw crestodian --message "models"openclaw crestodian --message "validate config"openclaw crestodian --message "setup workspace ~/Projects/work" --yesopenclaw crestodian --message "set default model openai/gpt-5.6" --yesopenclaw onboard --modernУ TUI Crestodian:
statushealthdoctorvalidate configsetupsetup workspace ~/Projects/workconfig set gateway.port 19001config set-ref gateway.auth.token env OPENCLAW_GATEWAY_TOKENgateway statusrestart gatewayagentscreate agent work workspace ~/Projects/workmodelsconfigure model providerset default model openai/gpt-5.6channelschannel info slackconnect slackopen channel wizard for slackplugins listplugins search slackplugin install clawhub:openclaw-codex-app-servertalk to work agenttalk to agent for ~/Projects/workauditquitОперації та схвалення
Crestodian використовує типізовані операції замість довільного редагування конфігурації.
Операції лише для читання виконуються негайно: показати огляд, перелічити агентів, перелічити встановлені Plugin, шукати Plugin у ClawHub, показати стан моделі/бекенда, виконати перевірки стану/працездатності, перевірити доступність Gateway, запустити doctor без інтерактивних виправлень, перевірити конфігурацію, показати шлях до журналу аудиту.
Запуск керованого налаштування каналу (connect telegram) також виконується негайно. Його майстер збирає явні відповіді та керує записами, що виконуються в результаті.
Постійні операції потребують схвалення в розмові (або --yes для безпосередньої команди): запис конфігурації, config set, config set-ref, початкова підготовка налаштування/онбордингу, зміна моделі за замовчуванням, запуск/зупинка/перезапуск Gateway, створення агентів і встановлення Plugin.
Виправлення doctor недоступні в Crestodian, оскільки вони можуть переписати маршрут інференсу провайдера, автентифікації або агента за замовчуванням, який забезпечує роботу сеансу. Вийдіть із Crestodian і виконайте openclaw doctor --fix у терміналі. Операція doctor лише для читання залишається доступною в Crestodian.
Нові агенти успадковують перевірений наживо маршрут інференсу за замовчуванням. Ідентифікатор агента crestodian зарезервовано для привілейованого віртуального наглядача, тому його не можна створити як звичайного агента.
config set і config set-ref не можуть змінювати стан маршруту інференсу, зокрема облікові дані провайдера інференсу, верхньорівневі auth.*, каталоги моделей, CLI-бекенди, маршрути моделей за замовчуванням або окремих агентів, параметри/інструменти агентів чи кореневі tools.*. Необроблені записи в env.*, secrets.*, plugins.* і $include також відхиляються, оскільки вони можуть замінити механізм визначення облікових даних або активацію провайдера. Автентифікація Gateway і каналів залишається звичайною поверхнею конфігурації. Використовуйте типізовані робочі процеси Plugin/каналів і set default model <provider/model> для вже налаштованого маршруту; перед збереженням маршрут перевіряється наживо. Щоб налаштувати або відновити доступ до провайдера чи автентифікації, вийдіть із Crestodian і виконайте openclaw onboard.
Видалення Plugin у Crestodian заборонене, оскільки видалення Plugin провайдера може вимкнути маршрут інференсу, що забезпечує роботу сеансу. Вийдіть із Crestodian і виконайте openclaw plugins uninstall <id> у терміналі.
Схвалення надається власними словами: однозначні відповіді ("так", "звісно", "продовжуйте", "не зараз") розпізнаються за закритим детермінованим списком. Якщо налаштований маршрут підтримує окремий запит завершення, інші відповіді можна класифікувати лише на основі вашого повідомлення та пропозиції, що очікує на рішення, — ніколи самою розмовною моделлю, яка не може схвалювати власні дії. Некласифіковані або неоднозначні відповіді залишають пропозицію в очікуванні, і система знову запитує рішення.
Застосовані записи фіксуються в ~/.openclaw/audit/crestodian.jsonl. Виявлення не проходить аудит; фіксуються лише застосовані операції та записи.
Налаштування каналу може відбуватися у форматі розмови на хості, доки не знадобиться секрет. Локальний TUI Crestodian не приймає конфіденційні відповіді майстра, оскільки введення в термінальному чаті видиме. Він негайно пропонує open channel wizard, передаючи вибраний канал у термінальний майстер із маскуванням; також пізніше можна виконати openclaw channels add --channel <channel>.
Перехід до налаштування каналу з маскуванням
Локальний чат може передати керування майстру каналів із маскуванням:
open channel wizard for slackchannel info slackopen channel wizard for <channel> відкриває налаштування каналу з маскуванням після закриття TUI чату. Спочатку скористайтеся channel info <channel>, щоб отримати мітку каналу, стан налаштування, стислий опис передумов і посилання на документацію.
Crestodian ніколи не змінює доступ до провайдера чи автентифікації з власного сеансу: цей сеанс уже залежить від відповідного маршруту інференсу. Для налаштування або відновлення провайдера моделі configure model provider повертає вказівку вийти й виконати онбординг, не запускаючи майстер і не записуючи конфігурацію. Вийдіть із Crestodian і виконайте openclaw onboard; онбординг готує облікові дані та зберігає лише маршрут, який успішно виконує реальний хід наживо. Після успішного онбордингу знову запустіть Crestodian.
Початкова підготовка налаштування
setup налаштовує решту стану робочого простору та Gateway після того, як керований онбординг уже налаштував інференс. Запис виконується лише через типізовані операції конфігурації та лише після запиту схвалення.
setupsetup workspace ~/Projects/worksetup зберігає перевірену фактичну модель. Він не налаштовує й не замінює інференс.
Якщо інференс відсутній або його перевірка наживо завершується невдало, вийдіть із Crestodian і виконайте openclaw onboard. Керований онбординг виявляє налаштовані моделі, ключі API та автентифіковані локальні CLI, запитує реальну відповідь у кожного кандидата й зберігає лише маршрут, що пройшов перевірку. Crestodian запускається відразу після цього етапу й може далі налаштовувати робочий простір, Gateway, канали, агентів, Plugin та інші необов’язкові функції.
Застосунок macOS повністю пропускає цю послідовність, коли підключається до налаштованого Gateway, агент за замовчуванням якого вже має налаштовану модель; він відкриває звичайний інтерфейс агента.
Для нового або неповністю налаштованого Gateway застосунок керує послідовністю інференсу через методи Gateway crestodian.setup.detect і crestodian.setup.activate: detect перелічує всі знайдені бекенди-кандидати, activate перевіряє одного кандидата наживо (реальне завершення "reply with OK") і лише після успішної перевірки зберігає модель, облікові дані та стан провайдера/середовища виконання, потрібні для цього маршруту. Налаштування робочого простору та Gateway за замовчуванням залишаються для Crestodian. Кандидат, що не пройшов перевірку, ніколи не змінює конфігурацію; застосунок автоматично переходить далі за списком і зрештою пропонує вручну ввести ключ/токен, заповнюючи список на основі активних Plugin провайдерів текстового інференсу Gateway. Вибраний провайдер визначає свою початкову модель і конфігурацію, а облікові дані перевіряються тим самим способом перед збереженням.
Керування Codex та інші необов’язкові функції Plugin не входять до цієї транзакції активації інференсу. Налаштовуйте їх лише після того, як інференс запрацює й запуститься Crestodian; наявна політика Plugin і явні відмови від керування залишаються незмінними під час налаштування інференсу.
Розмова із ШІ
Вільна розмова в інтерактивному Crestodian проходить через той самий цикл агента, що й у звичайних агентів OpenClaw, але обмежується одним інструментом найвищого рівня повноважень OpenClaw — crestodian, який обгортає типізовані операції. Операції читання виконуються вільно, мутації потребують вашого схвалення в розмові саме для цієї операції (див. розділ «Операції та схвалення»), а кожен застосований запис проходить аудит і повторну перевірку. Сеанс агента зберігається, тому Crestodian має справжню багатокрокову пам’ять. Якщо перевірений маршрут інференсу згодом перестане працювати, поверніться до openclaw onboard і відновіть його, перш ніж продовжувати.
Хост не перетворює запити природною мовою на операції. Вільні повідомлення — зокрема текст, схожий на команду, і запитання на кшталт "чому мій gateway зупинився?" — надсилаються ШІ, який може зіставити запит із типізованою операцією через інструмент crestodian.
Коли мутація очікує на рішення, без інференсу обробляються лише однозначні фрази схвалення або відмови із закритого списку. Неоднозначна згода передається окремому налаштованому запиту завершення, а за його відсутності безпечно відхиляється. Структуровані поля майстра й точна навігація хоста є елементами керування інтерфейсу, а не розбором операцій природною мовою. Особливо важливий один виняток для гігієни секретів: точний config set для конфіденційного шляху (токени, ключі, паролі) ніколи не потрапляє до моделі. Хост створює редаговану пропозицію, а значення маскується в історії, видимій ШІ. Для секретів віддавайте перевагу config set-ref <path> env <ENV_VAR>.
Режим відновлення через канали повідомлень ніколи не використовує планувальник із підтримкою моделі. Віддалене відновлення залишається детермінованим, щоб несправний або скомпрометований звичайний шлях агента не можна було використати як редактор конфігурації.
Модель довіри CLI-обв’язки
Вбудовані середовища виконання та обв’язка сервера застосунку Codex безпосередньо забезпечують обмеження найвищого рівня повноважень: запуск передає список дозволених інструментів OpenClaw, що містить лише інструмент crestodian. Для Codex OpenClaw також вимикає середовища, нативне виконання, мультиагентність, цілі, застосунки/Plugin, Skills/MCP, вебпошук і поверхні request_user_input для цього запуску. Codex усе одно додає свою неактивну нативну утиліту update_plan; вона може оновлювати тимчасовий контрольний список моделі, але не може записувати файли чи конфігурацію OpenClaw. CLI-обв’язки не використовують список дозволів OpenClaw, тому Crestodian допускає лише бекенди, чий власний контракт вибору інструментів може гарантувати таке саме обмеження:
- Вибирані бекенди, зокрема Claude Code, запускаються з порожнім набором нативних інструментів і одним інструментом MCP —
crestodian. Згенеровану Claude конфігурацію MCP застосовано з--strict-mcp-config, тому інші сервери MCP не завантажуються. - Бекенди, які не оголошують нативних інструментів, отримують той самий виділений сервер MCP Crestodian.
- Бекенди з постійно ввімкненими або невідомими нативними інструментами блокуються до виконання інференсу; вони не можуть розміщувати сеанс Crestodian.
Сервер MCP crestodian отримують лише сеанси Crestodian; звичайні запуски агента ніколи не бачать цього інструмента. Тому вибирані CLI-бекенди без нативних інструментів і моделі з ключами API забезпечують буквальний цикл з єдиним інструментом. Моделі Codex app-server забезпечують один владний інструмент OpenClaw разом із неактивною нативною утилітою планування. У всіх трьох випадках записування під час налаштування залишається обмеженим аудитованим контрактом схвалення Crestodian.
Gemini CLI залишається доступним для звичайних агентів, але не може забезпечити перевірку без інструментів, якої вимагає шлюз інференсу, тому не може розміщувати Crestodian.
Перехід до агента
Скористайтеся селектором природною мовою, щоб вийти з Crestodian і відкрити звичайний TUI:
talk to agenttalk to work agentswitch to main agentopenclaw tui, openclaw chat і openclaw terminal безпосередньо відкривають звичайний TUI агента; вони не запускають Crestodian. Після переходу до звичайного TUI команда /crestodian повертає до Crestodian, за потреби з додатковим запитом:
/crestodian/crestodian restart gatewayРежим аварійного відновлення через повідомлення
Режим аварійного відновлення через повідомлення — це точка входу до Crestodian з каналів повідомлень: використовуйте його, коли звичайний агент не працює, але довірений канал (наприклад, WhatsApp) усе ще приймає команди.
Це детермінований обробник аварійних команд, а не розмовний агент Crestodian. Він не запускає початкове налаштування з нуля й не послаблює шлюз інференсу для чату Crestodian.
Підтримувана команда: /crestodian <request>. Аварійне відновлення приймає лише точний синтаксис введеної команди — природну мову відхиляє з підказкою, ніколи не вгадує потрібну операцію й ніколи не звертається до моделі.
Ви, у довіреному приватному повідомленні власника: /crestodian statusOpenClaw: Режим аварійного відновлення Crestodian. Gateway доступний: ні. Конфігурація дійсна: ні.Ви: /crestodian restart gatewayOpenClaw: План: перезапустити Gateway. Відповідайте /crestodian yes, щоб застосувати.Ви: /crestodian yesOpenClaw: Застосовано. Запис аудиту створено.Створення агента також можна поставити в локальну чергу або виконати через аварійне відновлення:
create agent work workspace ~/Projects/work model openai/gpt-5.6-sol/crestodian create agent work workspace ~/Projects/workПід час створення агента можна вказати лише поточну типову модель, перевірену в реальному середовищі. Не вказуйте модель, щоб успадкувати цей маршрут.
Віддалене аварійне відновлення є адміністративною поверхнею, тому його слід розглядати як віддалене виправлення конфігурації, а не як звичайний чат.
Контракт безпеки для віддаленого аварійного відновлення:
- Вимкнено, коли для агента або сеансу активна пісочниця; Crestodian відмовляє у віддаленому аварійному відновленні й скеровує до локального виправлення через CLI.
- Типовий фактичний стан —
auto: дозволяти віддалене аварійне відновлення лише в довіреному режимі YOLO, коли середовище виконання вже має локальні повноваження без пісочниці (tools.exec.securityмає фактичне значенняfull, аtools.exec.ask—off, за режиму пісочниціoff). - Потребує явно визначеної особи власника; правила відправників із шаблонами, відкрита групова політика, Webhook без автентифікації та анонімні канали не допускаються.
- Типово дозволені лише приватні повідомлення власника; для аварійного відновлення в групі або каналі потрібне явне ввімкнення.
- Пошук і перегляд списку Plugin доступні лише для читання. Встановлення Plugin завжди доступне лише локально (заблоковане в аварійному відновленні, навіть якщо загалом увімкнене), оскільки воно завантажує виконуваний код. Видалення Plugin заборонене як у локальному Crestodian, так і в аварійному відновленні; виконайте
openclaw plugins uninstall <id>у терміналі. - Віддалене аварійне відновлення не може відкрити локальний TUI або перейти до інтерактивного сеансу агента; для передавання керування агенту використовуйте локальну команду
openclaw. - Постійні записи й надалі потребують схвалення, навіть у режимі аварійного відновлення.
- Кожна застосована операція аварійного відновлення аудитується. Для аварійного відновлення через канал повідомлень записуються канал, обліковий запис, відправник і метадані адреси джерела; для операцій, що змінюють конфігурацію, також записуються хеші конфігурації до та після зміни.
- Секрети ніколи не виводяться. Перевірка SecretRef повідомляє про доступність, а не значення.
- Якщо Gateway працює, аварійне відновлення надає перевагу типізованим операціям Gateway; якщо він не працює, використовується лише мінімальна поверхня локального виправлення, яка не залежить від звичайного циклу агента.
Структура конфігурації:
{ "crestodian": { "rescue": { "enabled": "auto", "ownerDmOnly": true, "pendingTtlMinutes": 15, }, },}enabled:"auto"(типове значення) дозволяє аварійне відновлення лише тоді, коли фактичне середовище виконання працює в режимі YOLO, а пісочницю вимкнено;falseніколи не дозволяє аварійне відновлення через канал повідомлень;trueявно дозволяє аварійне відновлення після проходження перевірок власника й каналу (але заборона через активну пісочницю все одно діє).ownerDmOnly: обмежує аварійне відновлення прямими повідомленнями власника. Типове значення —true.pendingTtlMinutes: час, протягом якого відкладений запис аварійного відновлення очікує схвалення командою/crestodian yes, перш ніж завершиться термін його дії. Типове значення —15.
Віддалене аварійне відновлення охоплюється Docker-напрямом:
pnpm test:docker:crestodian-rescueНеобов’язкова перевірка в реальному каналі поверхні команд перевіряє /crestodian status і повний цикл схвалення постійного запису через обробник аварійного відновлення:
pnpm test:live:crestodian-rescue-channelПакетне одноразове налаштування зі шлюзом інференсу охоплюється командою:
pnpm test:docker:crestodian-first-runЦей напрям пакетного CLI запускається з порожнім каталогом стану й доводить, що Crestodian блокує роботу без інференсу. Потім він тестує й активує імітацію Claude через пакетний модуль активації. Лише після цього нечіткий запит надходить до планувальника й перетворюється на типізоване налаштування, після чого одноразові команди створюють додаткового агента, налаштовують Discord через увімкнення Plugin і токен SecretRef, перевіряють конфігурацію та журнал аудиту. Цей напрям надає допоміжні докази роботи шлюзу й операцій; він не перевіряє інтерактивне початкове налаштування або взаємодію агента, інструмента й схвалення Crestodian. Наведений нижче сценарій QA Lab переспрямовує до того самого Docker-напряму:
pnpm openclaw qa suite --scenario crestodian-ring-zero-setup