Qwen3-VL:30B Clawdbot配置手册：gateway.bind=lan与security.token双重加固

1. 为什么需要这本配置手册

你可能已经试过在星图平台一键部署 Qwen3-VL:30B，也成功跑通了 Ollama Web 界面的简单对话。但当你兴冲冲地打开 Clawdbot 控制台，却只看到一片空白——页面加载失败、接口报 502、Token 验证不通过……这些不是模型能力的问题，而是网关配置没到位。

本手册不讲大模型原理，不堆参数指标，只聚焦一个目标：让你的 Clawdbot 真正“连得上、管得住、用得稳”。核心就两件事：

• 把 gateway.bind 从默认的 loopback（仅本地）改成 lan（全网可达），解决外部访问不通；
• 为 security.token 设置强校验凭证，防止未授权调用和越权访问。

这两步看似简单，却是私有化部署中最容易踩坑、最常被忽略、也最影响后续飞书集成成败的关键环节。我们全程基于 CSDN 星图 AI 平台实操，所有命令、路径、配置项均来自真实环境验证，零魔改、零猜测、可直接复用。

一句话定位本文价值：如果你卡在“Clawdbot 打不开控制台”或“飞书回调失败”，请直接跳到第 3 节——这里就是你的解药。

2. 前置准备：确认基础环境已就绪

在动配置之前，先确保底层服务已稳定运行。这不是重复劳动，而是避免把网络问题误判为模型问题。

2.1 验证 Qwen3-VL:30B 本地服务可用

Clawdbot 最终要调用的是本地 Ollama 的 API。必须先确认它在 127.0.0.1:11434 上真正“活”着。

打开终端，执行以下命令：

curl -s http://127.0.0.1:11434/api/tags | jq '.models[] | select(.name == "qwen3-vl:30b")'

正确响应应包含类似内容：

{
  "name": "qwen3-vl:30b",
  "model": "qwen3-vl:30b",
  "size": 32892345678,
  "digest": "sha256:abc123...",
  "details": {
    "format": "gguf",
    "family": "qwen2_vl",
    "families": ["qwen2_vl"],
    "parameter_size": "30B",
    "quantization_level": "Q4_K_M"
  }
}

若返回空或报 Connection refused，说明 Ollama 服务未启动或模型未加载，请返回星图控制台重启实例，或手动执行 ollama run qwen3-vl:30b 加载模型。

2.2 确认 Clawdbot CLI 已正确安装

星图平台预装 Node.js，但 Clawdbot 需要全局安装。验证方式很简单：

clawdbot --version

应输出类似 2026.1.24-3 的版本号。
若提示 command not found，请执行：

npm install -g clawdbot@latest

注意：不要使用 sudo npm install。星图环境已配置好用户级全局 bin 目录，npm i -g 即可生效。

2.3 获取你的公网访问地址

星图为每个 GPU 实例分配两个关键 URL：

• Ollama Web 地址（默认端口 8888）：https://gpu-podxxxx-8888.web.gpu.csdn.net/
• Clawdbot 网关地址（默认端口 18789）：https://gpu-podxxxx-18789.web.gpu.csdn.net/

请将 gpu-podxxxx 替换为你实例的实际 ID（可在星图控制台“我的实例”页查看）。这两个地址将在后续配置中反复使用。

3. 核心加固：gateway.bind=lan 与 security.token 双配置

这是全文最关键的实操章节。所有操作均在服务器终端内完成，无需图形界面。

3.1 定位并编辑 Clawdbot 主配置文件

Clawdbot 的所有行为由 ~/.clawdbot/clawdbot.json 控制。该文件在首次运行 clawdbot onboard 后自动生成。

执行以下命令打开编辑器：

vim ~/.clawdbot/clawdbot.json

重要提醒：请勿使用 nano 或其他编辑器替代 vim。星图环境预装 vim-tiny，功能精简但足够完成本次修改；nano 在部分镜像中未预装，易导致操作中断。

3.2 修改 gateway.bind：从 loopback 到 lan

默认配置中，gateway.bind 的值是 "loopback"，这意味着网关只监听 127.0.0.1（本机回环地址），外部请求（包括星图平台的反向代理、飞书回调、你的浏览器）全部被拒绝。

找到 gateway 对象，将 "bind": "loopback" 改为 "bind": "lan"：

"gateway": {
  "mode": "local",
  "bind": "lan",   // ← 关键修改：此处由 "loopback" 改为 "lan"
  "port": 18789,
  ...
}

修改后效果：网关将监听 0.0.0.0:18789，接受来自任意 IP 的连接请求。
注意：这不等于“完全开放”，因为下一步的 security.token 会进行强身份校验。

3.3 设置 security.token：启用 token 认证模式

Clawdbot 提供多种认证方式，token 是私有化部署中最轻量、最可控的选择。它要求每次访问控制台或调用 API 时，必须携带指定字符串作为凭证。

在 gateway.auth 对象中，设置 mode 为 "token"，并指定一个你容易记住但他人难以猜测的 token 值（例如 csdn-qwen3-vl-2026）：

"auth": {
  "mode": "token",
  "token": "csdn-qwen3-vl-2026"   // ← 关键修改：设置强 Token
},

安全建议：

• Token 不要使用 admin、123456、password 等弱口令；
• 建议组合“平台名+模型名+年份”，如示例中的 csdn-qwen3-vl-2026；
• 避免在公开文档中直接暴露真实 Token，本文示例仅作演示。

3.4 添加 trustedProxies：信任星图反向代理链路

星图平台采用 Nginx 反向代理将你的公网 URL（如 xxx-18789.web.gpu.csdn.net）转发到服务器的 127.0.0.1:18789。Clawdbot 默认不信任这种代理转发，会拒绝处理带 X-Forwarded-For 头的请求，导致页面空白。

必须显式告诉 Clawdbot：“我信任星图的代理”。在 gateway 对象中添加 trustedProxies 字段：

"trustedProxies": ["0.0.0.0/0"]

这行配置表示“信任所有来源的代理请求”，完美适配星图动态分配的代理 IP 池。
注意：["0.0.0.0/0"] 是星图环境下的安全且必要配置，不可省略。

3.5 完整 gateway 配置段落（可直接复制）

为避免手误，以下是经过验证的完整 gateway 配置块。请将你编辑器中的整个 gateway 对象替换为此内容：

"gateway": {
  "port": 18789,
  "mode": "local",
  "bind": "lan",
  "controlUi": {
    "enabled": true,
    "allowInsecureAuth": true
  },
  "auth": {
    "mode": "token",
    "token": "csdn-qwen3-vl-2026"
  },
  "trustedProxies": [
    "0.0.0.0/0"
  ],
  "tailscale": {
    "mode": "off",
    "resetOnExit": false
  }
}

修改完成后，按 Esc 键退出插入模式，输入 :wq 保存并退出 vim。

4. 验证与调试：三步确认加固生效

改完配置不等于万事大吉。必须通过实际测试验证每一步是否真正起效。

4.1 重启 Clawdbot 网关服务

配置生效需重启服务。执行：

clawdbot gateway --restart

正确响应应包含 Gateway restarted successfully 和新的 PID。
若提示 Error: EADDRINUSE，说明端口被占用，请执行 lsof -i :18789 | grep LISTEN 查看进程并 kill -9 <PID> 清理。

4.2 浏览器访问控制台并输入 Token

打开你的 Clawdbot 公网地址（如 https://gpu-podxxxx-18789.web.gpu.csdn.net/）。

此时你应该看到：

• 页面不再空白，而是显示一个简洁的登录框；
• 框内提示 Enter your security token；
• 输入你在 clawdbot.json 中设置的 Token（如 csdn-qwen3-vl-2026）；
• 点击 Continue，进入完整的控制面板。

这一步成功，证明 bind=lan 和 token 认证均已生效。
若仍为空白页，请检查：

• 是否遗漏 trustedProxies 配置；
• 浏览器是否缓存了旧页面（尝试无痕模式或 Ctrl+F5 强刷）；
• 星图平台是否已为 18789 端口开启公网访问（在实例详情页“网络”标签中确认）。

4.3 命令行调用 API 验证（可选但推荐）

更底层的验证方式：用 curl 直接调用网关健康检查接口。

curl -X GET \
  -H "Authorization: Bearer csdn-qwen3-vl-2026" \
  https://gpu-podxxxx-18789.web.gpu.csdn.net/api/v1/health

成功响应为 JSON：{"status":"ok","timestamp":1738123456}。
若返回 401 Unauthorized，检查 Token 是否拼写错误；若返回 404，说明网关未监听或路径错误。

5. 进阶实践：为飞书集成预设安全边界

本节内容为下篇教程铺路，但提前了解能帮你建立安全意识。

5.1 为什么飞书回调需要额外防护

飞书机器人通过 POST 请求将群消息推送到你的 Clawdbot 地址（如 https://gpu-podxxxx-18789.web.gpu.csdn.net/webhook/lark）。这个地址一旦暴露，任何知道 URL 的人都能伪造消息触发你的大模型，造成资源滥用或信息泄露。

Clawdbot 默认对 /webhook/* 路径不做 token 校验，因此必须主动加固。

5.2 在配置中启用 webhook token（下篇预告）

Clawdbot 支持为 webhook 路径单独设置密钥。在 clawdbot.json 的 gateway 下添加：

"webhooks": {
  "lark": {
    "token": "feishu-secret-2026"
  }
}

然后在飞书开发者后台配置机器人时，将 Verification Token 设为 feishu-secret-2026。Clawdbot 将自动校验飞书签名，拒绝所有非法请求。

这是飞书集成前的必做动作。下篇将详解如何生成、配置并验证该 Token。

6. 常见问题速查表

遇到问题？先对照此表快速定位，90% 的故障都源于这几点。

现象	最可能原因	快速解决
控制台页面空白，F12 看 Network 显示 502	gateway.bind 仍为 loopback，或 trustedProxies 缺失	重新检查 clawdbot.json 中 bind 和 trustedProxies 字段
控制台显示 Token 输入框，但输入后提示 “Invalid token”	Token 拼写错误，或配置文件未保存，或服务未重启	用 cat ~/.clawdbot/clawdbot.json | grep token 确认值；执行 clawdbot gateway --restart
Ollama Web 页面正常，但 Clawdbot Chat 页面无响应	models.providers.my-ollama.baseUrl 指向错误（如用了公网 URL 而非 http://127.0.0.1:11434）	确保 baseUrl 是 http://127.0.0.1:11434/v1，不是 https://xxx-11434.web.gpu.csdn.net/v1
clawdbot gateway 命令报错 “EACCES: permission denied”	用户无权绑定端口（罕见于星图环境）	改用 clawdbot gateway --port 18790 指定其他端口，或联系平台支持

终极排查法：执行 clawdbot gateway --debug。它会输出详细的启动日志，包括监听地址、认证模式、Webhook 配置等，是定位问题的第一手资料。

---

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。