你装好了 OpenClaw,配好了模型,AI 也能回消息了。然后你发了一条:

“帮我把桌面上的 PDF 文件整理到对应的文件夹里。”

AI 的回复是:”好的,你可以按照以下步骤操作:1. 打开访达……”

它又开始给你写教程了。

这不是 OpenClaw 的问题,也不是你的配置出错了——这是 OpenClaw 的默认安全设计。本文解释原因,并告诉你这个解决办法。更多资源请访问 OpenClaw 中文版官网

为什么装好了还是”只会聊”?

很多人以为 OpenClaw 装好就自动能干活,其实不是。OpenClaw 的设计原则是:

默认保守,主动授权。你不明确允许的事情,它不会去做。

这个设计来自现实的安全考量:OpenClaw 一旦获得执行权限,理论上可以读写你的任何文件、执行任意命令、访问你的邮件和日历。如果默认全开,一段有问题的提示词或者一个恶意技能,就可能造成不可挽回的损失。

所以 OpenClaw 把能力分成了两层:

  • 第一层:语言能力——默认开启,AI 能看到你的消息、思考、生成文字回复
  • 第二层:执行能力——默认关闭或受限,AI 要做某件事之前,你得先明确告诉系统”允许”

你装好 OpenClaw 之后处于第一层——AI 有语言能力,但没有执行能力。它只能”说”,不能”做”。

解决办法就是:给它执行能力。

先看一眼它现在能用什么工具

开始配置之前,先看清楚现在的状态。在聊天里发:

/tools

这条命令会返回当前智能体实际可以调用的工具列表——不是所有已安装的工具,而是现在这个状态下真的能用的。典型的初始状态可能是这样:

🔧 可用工具(当前会话)
━━━━━━━━━━━━━━━━━━━
✅ read          读取文件内容
✅ write         写入文件
✅ web_search    网络搜索(需要 API Key)
⛔ bash          执行终端命令(未授权)
⛔ browser       控制浏览器(未启用)
⛔ cron          定时任务(需要配置)
━━━━━━━━━━━━━━━━━━━

看到打了 ⛔ 的工具了吗?那些就是 AI 想用但用不了的能力。它知道怎么整理文件,但 bash(执行终端命令)被限制了,所以只能告诉你”你自己去做”。

控制面板里还有一个实时的 “Available Right Now”(当前可用)面板,显示当前哪些工具实际可以调用,比 /tools 更直观。

解决办法:授权 tools.exec,打开执行开关

让 OpenClaw 真正能干活的核心,是配置 tools.exec——执行工具权限设置。

打开 ~/.openclaw/openclaw.json,找到或添加以下配置:

{
  "agents": {
    "defaults": {
      "tools": {
        "exec": {
          "allow": [
            "bash",
            "process"
          ]
        }
      }
    }
  }
}

添加之后重启 Gateway:

openclaw daemon restart

然后再发 /tools——bash 应该从 ⛔ 变成 ✅ 了。

现在再发同样那条消息:”帮我把桌面上的 PDF 文件整理到对应的文件夹里。”

AI 会扫描桌面目录、识别文件名和类型、创建文件夹、移动文件——然后发给你一条执行报告,而不是一份操作手册。

执行权限有三个级别,你选哪个?

授权执行不是非黑即白的。OpenClaw 提供了三个层次的执行权限,根据你的使用场景和风险承受程度选择:

级别一:全面开放(个人用,自己的机器)

{
  "agents": {
    "defaults": {
      "tools": {
        "exec": {
          "allow": ["bash", "process", "browser", "read", "write", "edit"]
        }
      }
    }
  }
}

适合:你是唯一用户,机器上没有特别敏感的内容,你想让 OpenClaw 能做任何事。

风险:AI 可以执行任何命令。如果提示词被注入,或者某个技能有问题,它可能做一些你不希望的事。

级别二:白名单模式(推荐大多数用户)

{
  "agents": {
    "defaults": {
      "tools": {
        "exec": {
          "allow": ["bash", "read", "write"],
          "deny": ["browser"]
        }
      }
    }
  }
}

适合:开放常用工具,但屏蔽风险较高的(比如浏览器自动化)。

级别三:沙盒隔离(多用户或群组场景)

{
  "agents": {
    "defaults": {
      "sandbox": {
        "mode": "non-main"
      },
      "tools": {
        "exec": {
          "allow": ["bash", "read", "write"]
        }
      }
    }
  }
}

适合:OpenClaw 连接了群组或多人使用的频道。sandbox.mode: "non-main" 让非主会话(群聊、频道)在 Docker 容器里隔离运行,主会话(你自己的私聊)保持正常权限。

执行审批:让 AI 干活前先问你

不想全开,但又不想全拒绝?还有一个选项:让 AI 每次执行操作之前先问你确认。

在执行审批文件 ~/.openclaw/exec-approvals.json 里可以配置哪些命令需要每次问、哪些永久信任、哪些永远拒绝:

{
  "approvals": [
    {
      "command": "rm",
      "policy": "ask"
    },
    {
      "command": "git commit",
      "policy": "allow-always"
    },
    {
      "command": "curl",
      "policy": "deny"
    }
  ]
}

或者在 AI 执行某个命令时,在聊天里实时看到审批提示并选择:

  • 允许一次:只允许这次执行
  • 永久允许:这个命令以后不再问(写入 exec-approvals.json)
  • 拒绝:这次不执行

v2026.4.1 之后,”永久允许”真的是持久的——修复了之前 allow-always 实际上只生效一次的 Bug。

安装 Skills:给 AI 装上专用工具

打开 bash 权限让 AI 能执行命令,但很多常用任务——整理 GitHub Issues、查天气、控制 tmux 终端——不是靠一条 bash 命令就能完成的,它们需要专门的集成逻辑。

这就是 Skills(技能包) 的作用。Skills 是 OpenClaw 的扩展模块,每个技能封装了一类任务的完整执行逻辑。

发这条命令查看已安装的技能:

/tools list    # 或者打开控制面板的 Skills 页面

在控制面板的技能页面,你会看到四个标签:

  • All:所有已知技能
  • Ready:已配置好,可以直接用
  • Needs Setup:还差一些配置(比如 API Key)
  • Disabled:已禁用

点进任何一个技能,它会告诉你:需要什么依赖、如何配置、在哪里获取 API Key,以及如何安装缺失的依赖项——v2026.3.24 之后,这些都支持一键安装,不用自己查文档。

7 个最常用的内置技能

技能名 能做什么 需要什么
weather 查询天气(多城市、当前+未来) 免费天气 API(向导提示)
gh-issues 自动创建、分类、关闭 GitHub Issues GitHub Personal Access Token
trello 操作 Trello 看板,创建卡片、移动任务 Trello API Key + Token
tmux 在持久化终端会话中执行长时间命令 系统已安装 tmux
openai-whisper-api 语音转文字(处理语音消息) OpenAI API Key
session-logs 查询、导出历史会话记录 无额外依赖
coding-agent 代码生成与调试智能体 无额外依赖(使用主模型)

安装技能的方式很简单:

# 通过 ClawHub 安装(推荐)
openclaw plugins install clawhub:weather

# 安装后重启使技能生效
openclaw daemon restart

# 验证技能已就绪
/tools

安装好 weather 技能后,你就可以直接说”今天上海天气怎么样”——AI 会真的去查,而不是让你自己开浏览器。

打开浏览器自动化

除了 bash 和技能,另一个强大的执行能力是浏览器自动化——让 AI 能打开网页、点击按钮、填写表单、抓取内容。

在配置文件中启用:

{
  "browser": {
    "enabled": true
  },
  "agents": {
    "defaults": {
      "tools": {
        "exec": {
          "allow": ["bash", "browser", "read", "write"]
        }
      }
    }
  }
}

启用后,AI 可以:

  • 打开任意网页并截图
  • 点击页面元素、填写表单
  • 登录网站(通过你已经登录的 Chrome Profile)
  • 抓取动态页面内容(对 Selenium 友好的那类任务)
# 启用浏览器后,这类任务就可以真的执行了
帮我打开 GitHub,找到 openclaw 仓库最新的 open issues,
截图发给我

帮我在这个表格里填入今天的数据并提交

一个完整的”从零干活”配置示例

综合上面所有内容,这是一个适合个人用户的完整执行能力配置:

{
  "agents": {
    "defaults": {
      "tools": {
        "exec": {
          "allow": [
            "bash",
            "process",
            "read",
            "write",
            "edit",
            "browser"
          ]
        }
      }
    }
  },
  "browser": {
    "enabled": true
  }
}

修改后的完整上线步骤:

# 1. 保存配置文件后重启
openclaw daemon restart

# 2. 运行健康检查
openclaw doctor

# 3. 确认工具已开放
/tools

# 4. 测试执行能力
帮我列出桌面上所有的文件,按修改时间排序

如果 AI 这次真的帮你列出来了——恭喜,它会干活了。

安全底线:这几件事别做

给了 OpenClaw 执行能力之后,有几件事值得特别注意:

  • 不要以 root 权限运行 OpenClaw:用普通用户账户,限制它能操作的范围
  • 不要随意安装来源不明的技能包:ClawHub 官方市场的技能相对可信,从陌生地方下载的技能要仔细审查
  • 重要任务前描述要精确:越模糊的指令,AI 越容易做出超出预期的操作。”清理旧文件”和”清理 30 天内没有打开过的文件”差别很大
  • 关注 openclaw doctor 的警告:尤其是 tools.execexec-approvals.json 不一致的提示,那是系统在告诉你配置有潜在安全隐患
  • 定期备份重要文件:AI 执行文件操作的时候,有可能误删或误改。有备份,出问题也不慌

总结

OpenClaw 装好只会聊天,根本原因是执行能力默认受限。解决这个问题的路径就一条:

  1. /tools 查清楚哪些工具现在不可用
  2. openclaw.json 里配置 tools.exec.allow 开放需要的工具
  3. 安装常用的 Skills 技能包(weather、gh-issues 等),给 AI 配上专用工具
  4. 按需开启浏览器自动化
  5. 配置执行审批规则,在”能干活”和”可控可信”之间找到平衡

配置完成后,OpenClaw 才真正进入了它设计的工作状态——不是一个更花哨的聊天框,而是一个有权限、有工具、能执行的数字员工。

想了解更多 OpenClaw 进阶配置,欢迎访问 OpenClaw 中文版官网