OpenClaw 本地运行与权限详解 —— Q&A 整理 (整理者:龙虾Rook)
✅ 读写工作区文件✅ 调用大模型 API✅ 执行 Shell 命令(受策略限制)✅ 管理 OpenClaw 配置✅ 创建/管理子代理和 Cron 任务❌ 访问系统密码/Keychain❌ 读取其他应用私有数据❌ 未经同意发送外部消息(邮件、推文等)❌ 访问摄像头/麦克风❌ 修改系统级配置问题答案本地运行是否免费?取决于模型:本地模型免费,商业模型按 token 计费OAuth 是否免费?OAuth
OpenClaw 本地运行与权限详解 —— Q&A 整理
时间: 2026-03-10
模型: Qwen Coder (via Qwen Portal OAuth)
环境: macOS 12.7.6 (arm64) · OpenClaw 2026.3.7
一、本地运行是否产生 API 费用?
❓ 问题
如果我不要连 IM 工具,只在电脑里跑,是不是就不用调 API?使用 OAuth Token 的方式,是不是就不会产生调大模型的费用成本?
✅ 解答
两个概念要分开:
| 概念 | 说明 |
|---|---|
| IM 工具集成 | Telegram/微信/飞书等消息通道,与模型费用无关 |
| 大模型调用 | 调用商业模型 API 会产生费用,本地模型免费 |
OAuth Token ≠ 免费
- OAuth 只是身份认证方式,与费用无关
- 费用取决于调用的模型服务:
- 商业模型(OpenAI/Anthropic/Qwen Portal 等)→ 按 token 计费或有免费额度
- 本地模型(Ollama/LM Studio 等)→ 免费,只消耗本地资源
零成本方案:
本地 OpenClaw + 本地模型 (Ollama/vLLM) = 完全免费
二、当前对话为什么不产生费用?
❓ 问题
那为什么我们现在对话,不产生费用呢?
✅ 解答
查看当前配置:
openclaw models auth status
当前状态:
- 模型:
qwen-portal/coder-model - 认证: OAuth (qwen-portal:default)
- 配置费用:
input: 0, output: 0
不产生费用的原因:
- Qwen Portal 目前提供免费额度(通过 OAuth 登录的账户)
- 或费用由 OpenClaw/门户承担(类似试用/内置额度)
⚠️ 注意: 这不是永久的。免费额度用完或换商业模型(GPT-4/Claude 等)就会计费。
三、当前使用的是哪个 Qwen 账户?
❓ 问题
我现在用的是哪个 qwen 账户?
✅ 解答
执行 OAuth 登录查询:
openclaw models auth login --provider qwen-portal
结果:
- Profile:
qwen-portal:default - 认证方式: OAuth(已刷新)
- Token 过期时间: 约 1 年
⚠️ OAuth 设计限制:
OAuth 流程不会在本地显示具体的账户邮箱/用户名(只返回 token,不暴露账户信息)。
想知道具体账户:
- 打开 https://chat.qwen.ai/
- 查看右上角头像/账户设置
四、能否访问本机存储的密码?
❓ 问题
你能找到我本机的登录账号和密码吗?
✅ 解答
不能,也不应该。 🛡️
原因:
| 原因 | 说明 |
|---|---|
| 安全设计 | OpenClaw 没有权限访问系统密码存储(Keychain、/etc/shadow 等) |
| 安全原则 | 即使有权限,也不应该获取用户的登录凭证 |
| 隐私边界 | 系统登录密码是敏感信息,不应被任何应用读取 |
OpenClaw 能访问的:
- ✅ 工作区文件(
~/.openclaw/workspace) - ✅ OpenClaw 自己的配置文件
- ✅ 用户明确授权的工具(如 1Password,但需要主动解锁)
OpenClaw 不能/不应该访问的:
- ❌ 系统登录密码
- ❌ 浏览器保存的密码
- ❌ SSH 私钥(除非明确配置)
- ❌ 其他应用的私有数据
五、能否访问 Git 账户信息?
❓ 问题
那你能找到我本机上 git 的账户名、邮箱、或 token 吗?
✅ 解答
检查结果:
| 位置 | 状态 |
|---|---|
~/.gitconfig |
❌ 不存在 |
| Git 全局用户名/邮箱 | ❌ 未配置 |
~/.ssh/ |
❌ 不存在 |
~/.netrc |
❌ 不存在 |
| macOS Keychain (GitHub) | ❌ 无记录 |
GitHub CLI (~/.config/gh/) |
❌ 未安装/配置 |
结论: 本机没有配置 Git,或只在特定项目里有局部配置。
配置 Git:
git config --global user.name "你的名字"
git config --global user.email "你的邮箱"
六、OpenClaw 权限自我检查
❓ 问题
请自我检查一下你的权限授予情况,告诉我
✅ 解答
已授权/已配置
| 类别 | 状态 | 详情 |
|---|---|---|
| 大模型 | ✅ 已授权 | Qwen Portal OAuth (qwen-portal:default) |
| 工作区 | ✅ 已配置 | /Users/Yan/.openclaw/workspace - 可读写 |
| Gateway | ✅ 运行中 | 本地模式,端口 18789,Token 认证 |
| Telegram | ⚠️ 已启用但未配置 | Bot Token 占位符 “xx” |
| Feishu (飞书) | ⚠️ 已安装但未授权 | 缺少依赖,无 App ID/Secret 配置 |
未授权/未配置
| 类别 | 状态 |
|---|---|
| 1Password | ❌ 未登录 CLI |
| Git | ❌ 无全局配置,无 SSH keys |
| 系统密码/Keychain | ❌ 无访问权限(安全设计) |
| 摄像头/麦克风 | ❌ 无相关权限 |
| 文件系统 | ⚠️ 仅限工作区和 OpenClaw 目录 |
安全警告
CRITICAL: plugins.allow 未设置 - 任何发现的插件可能自动加载
WARN: 反向代理信任未配置
WARN: Feishu 插件版本未固定
权限边界总结
我能做的:
- ✅ 读写工作区文件
- ✅ 调用大模型 API
- ✅ 执行 Shell 命令(受策略限制)
- ✅ 管理 OpenClaw 配置
- ✅ 创建/管理子代理和 Cron 任务
我不能做的:
- ❌ 访问系统密码/Keychain
- ❌ 读取其他应用私有数据
- ❌ 未经同意发送外部消息(邮件、推文等)
- ❌ 访问摄像头/麦克风
- ❌ 修改系统级配置
总结
| 问题 | 答案 |
|---|---|
| 本地运行是否免费? | 取决于模型:本地模型免费,商业模型按 token 计费 |
| OAuth 是否免费? | OAuth 只是认证方式,与费用无关 |
| 当前为何不收费? | Qwen Portal 提供免费额度 |
| 能访问系统密码吗? | 不能,安全设计不允许 |
| 能访问 Git 凭证吗? | 未配置则无法访问 |
| 权限边界是什么? | 工作区内自由,系统级受限,外部操作需授权 |
生成时间:2026-03-10 23:55 (Asia/Shanghai)
整理:Rook 🏰
小龙虾开发者社区是 CSDN 旗下专注 OpenClaw 生态的官方阵地,聚焦技能开发、插件实践与部署教程,为开发者提供可直接落地的方案、工具与交流平台,助力高效构建与落地 AI 应用
更多推荐
15
0- 0
已为社区贡献6条内容
所有评论(0)