Passer au contenu principal

Onboarding (application macOS)

Ce document décrit le flux de configuration de première exécution actuel. L’objectif est une expérience fluide au « jour 0 » : choisir où la Gateway s’exécute, connecter l’authentification, lancer l’assistant, puis laisser l’agent s’initialiser lui-même. Pour une vue d’ensemble générale des parcours d’onboarding, voir Onboarding Overview.
1

Approuver l’avertissement macOS

2

Approuver la recherche de réseaux locaux

3

Bienvenue et avis de sécurité

Modèle de confiance de sécurité :
  • Par défaut, OpenClaw est un agent personnel : une seule frontière d’opérateur de confiance.
  • Les configurations partagées / multi-utilisateurs exigent un verrouillage strict (séparez les frontières de confiance, limitez l’accès aux outils au minimum, et suivez Security).
  • L’onboarding local définit maintenant par défaut tools.profile: "coding" pour les nouvelles configurations, afin que les nouvelles installations locales conservent les outils de système de fichiers/runtime sans imposer le profil full sans restriction.
  • Si des hooks/webhooks ou d’autres flux de contenu non fiables sont activés, utilisez un modèle moderne de niveau élevé et conservez une politique d’outils / un sandboxing stricts.
4

Local ou distant

Où la Gateway s’exécute-t-elle ?
  • Ce Mac (local uniquement) : l’onboarding peut configurer l’authentification et écrire les identifiants localement.
  • Distant (via SSH/Tailnet) : l’onboarding ne configure pas l’authentification locale ; les identifiants doivent exister sur l’hôte gateway.
  • Configurer plus tard : ignore la configuration et laisse l’application non configurée.
Conseil sur l’authentification Gateway :
  • L’assistant génère désormais un jeton même pour loopback, donc les clients WS locaux doivent s’authentifier.
  • Si vous désactivez l’authentification, n’importe quel processus local peut se connecter ; n’utilisez cela que sur des machines entièrement de confiance.
  • Utilisez un jeton pour l’accès multi-machine ou les binds non loopback.
5

Autorisations

L’onboarding demande les autorisations TCC nécessaires pour :
  • Automatisation (AppleScript)
  • Notifications
  • Accessibilité
  • Enregistrement de l’écran
  • Microphone
  • Reconnaissance vocale
  • Caméra
  • Localisation
6

CLI

Cette étape est facultative
L’application peut installer la CLI globale openclaw via npm, pnpm ou bun. Elle préfère d’abord npm, puis pnpm, puis bun si c’est le seul gestionnaire de paquets détecté. Pour le runtime Gateway, Node reste la voie recommandée.
7

Chat d’onboarding (session dédiée)

Après la configuration, l’application ouvre une session de chat d’onboarding dédiée afin que l’agent puisse se présenter et guider les prochaines étapes. Cela garde les indications de première exécution séparées de votre conversation normale. Voir Bootstrapping pour ce qui se passe sur l’hôte gateway lors de la première exécution de l’agent.