Onboarding（macOS 应用）

本文档描述当前的首次运行设置流程，目标是提供流畅的"第一天"体验：选择 Gateway 运行位置、连接认证、运行引导向导，然后让智能体自主完成 bootstrapping。

如需了解各种 onboarding 路径的总览，请参见 Onboarding 概述。

第一步：允许 macOS 安全警告

打开应用时系统会弹出安全提示，点击允许即可继续。

第二步：允许查找本地网络

应用需要访问本地网络权限，用于发现 Gateway。

第三步：阅读欢迎与安全提示

请认真阅读安全提示，根据自身情况决定如何继续。

安全信任模型说明：

• 默认情况下，OpenClaw 是个人助手：一个受信任的操作者边界。
• 共享/多用户场景需要加固（拆分信任边界，保持工具访问最小化，并遵循 安全配置）。
• 本地 onboarding 现在默认将新配置设为 tools.profile: "coding"，新的本地安装保留文件系统/运行时工具，无需强制使用不受限的 full 配置。
• 如果启用了 hooks/webhooks 或其他不受信任的内容源，请使用强大的现代模型级别，并保持严格的工具策略/沙箱。

第四步：选择本地还是远程

Gateway 在哪里运行？

• 本 Mac（仅本地）： onboarding 可在本地配置认证并写入凭证。
• 远程（通过 SSH/Tailnet）： onboarding 不配置本地认证；凭证必须已存在于 Gateway 主机上。
• 稍后配置： 跳过设置，让应用保持未配置状态。

Gateway 认证提示：

• 向导现在即使对回环地址也会生成 token，因此本地 WS 客户端必须进行认证。
• 如果禁用认证，任何本地进程都可以连接；仅在完全受信任的机器上使用该选项。
• 对于多机访问或非回环绑定，使用 token。

第五步：权限申请

Onboarding 会申请以下 TCC 权限：

• 自动化（AppleScript）
• 通知
• 辅助功能
• 屏幕录制
• 麦克风
• 语音识别
• 摄像头
• 位置

第六步：安装 CLI（可选）

应用可通过 npm/pnpm 安装全局 openclaw CLI，以便终端工作流和 launchd 任务开箱即用。

第七步：Onboarding 对话（专用会话）

设置完成后，应用会打开一个专属的 onboarding 对话会话，让智能体自我介绍并引导后续步骤。这使首次运行引导与你的日常对话保持分离——你的"龙虾"会在这里第一次跟你打招呼。

关于 Gateway 主机首次智能体运行时发生的事情，请参见 Bootstrapping。