啥？！OpenClaw官方安装教程有问题？！

绝大多数人一看到安装命令如下所示就立刻马上执行安装命令直接在自己的宿主机 Windos 系统上安装 OpenClaw。

powershell -c "irm https://openclaw.ai/install.ps1 | iex

但是这样的安装方式是有问题的，因为官方不推荐这种原生 Windows 的安装方式。“官方不推荐原生 Windows 的安装方式”，这一说法的出处我知道在哪里，首先点击右上角的 Docs，来到如下图所示的页面。

我们可以注意到系统要求的第 2 点，里面有说“支持原生 Windows 和 WSL2；WSL2 更稳定”，这就是“官方不推荐原生 Windows 的安装方式”这一说法的出处之一，其实还有一个原因就是 WSL2 是一个虚拟机，它做了一层隔离，避免直接在宿主机上安装。

显然，这种原生 Windows 的安装方式可以舍去了，下面开始说明 WSL2 的安装方式相比原生 Windows 安装方式好在哪些方面以及有哪些问题。

02 官方安装教程（2）

首先，让我们从 OpenClaw 官方文档中继续找 WSL2 的安装方式相比原生 Windows 安装方式好在哪些方面，注意到系统要求的第 2 点，把鼠标放到“参见 Windows”的“Windows”上面发现这是一个链接，点击跳转到如图所示的页面。

该页面就是说明为什么 WSL2 的安装方式相比原生 Windows 安装方式好以及好在哪些方面，具体可以访问官方文档慢慢看，这里就不详细叙述了。

虽然 WSL2 的安装方式相比原生 Windows 安装方式好了很多，但是该安装方式还是有问题的，因为（1）WSL2 的 Linux 系统默认会挂载 Windows 宿主机系统所有磁盘根目录；（2）WSL2 的 Linux 系统默认支持启动 Windows 宿主机上的进程；（3）WSL2 的 Linux 系统默认将 Windows 路径元素添加到 $PATH 环境变量。但是好在这些问题可以通过修改 WSL2 的 Linux 系统的 /etc/wsl.conf 文件来解决，具体操作方式可以参考上图中的“WSL2（推荐）”中的第 3 点。

上述 3 个问题被解决之后绝大多数人会想当然的执行如图所示的安装命令安装 OpenClaw。

命令内容如下所示。

curl -fsSL https://openclaw.ai/install.sh | bash

然而，通过这个命令安装依旧有问题，那就是该安装命令需要 sudo 权限和 root 权限。既然如此，有没有什么方法可以以普通用户的身份安装 OpenClaw 并且既不需要 root 权限也不需要 sudo 权限呢？有的，兄弟，有的，具体如何操作请看下一节。

03 官方安装教程（3）

首先，我们找到上图左边栏“安装概览”，可以发现它有“安装”和“安装程序内部机制”两个选项，点击“安装程序内部机制”跳转到如图所示的页面。

从图中可以发现如果通过安装脚本 install-cli.sh 来安装 OpenClaw 就可以做到既不需要 root 权限也不需要 sudo 权限，换句话说就是使用既没有 root 权限也没有sudo 权限的普通用户依旧可以安装 OpenClaw。

接下来就是找到具体的安装命令，这非常容易找到，点击上图右边的“示例（install-cli.sh）”跳转到如图所示的页面。

直接用默认子标题下的命令就可以了，当然也可以用其他安装命令，默认子标题下的命令如下所示。

curl -fsSL --proto '=https' --tlsv1.2 https://openclaw.ai/install-cli.sh | bash

然而，通过这个命令安装依旧有问题，那就是该安装命令可能需要 sudo 权限和 root 权限。之所以说是“可能”，是因为上述命令在特定情况下才会需要 sudo 权限和 root 权限，具体是什么样的特定情况，请看下一节。

04

上述教程真的不要特殊权限吗？

首先，我们找到并点击上图右边的“流程（install-cli.sh）”跳转到如图所示的页面。

显然，我们可以发现在“确保 Git”子标题下的内容写着“如果缺少 Git，则尝试通过 Linux 上的 apt/dnf/yum 或 macOS 上的 Homebrew 安装”。显然，这只要是会点 Linux 的人都能看得出来，通过 Linux 上的 apt/dnf/yum 安装 Git 需要 sudo 权限和 root 权限。因此，我们已经找到了 OpenClaw 所需要的第一个前置依赖，即 Git。这个时候很多人会质疑：“curl、bash 以及 apt/dnf/yum 3 个中的一个不也是依赖吗？！”我承认这些确实实打实的可以算是 OpenClaw 的依赖没有任何问题，但是这些依赖和 Git 不一样，因为（1）它们不会被安装命令诱导你输入 sudo 密码而 Git 会；（2）更何况如果没有 curl 和 bash，安装命令根本就执行不了；（3）apt/dnf/yum 是不同的 Linux 发行版自带的包管理工具，一般的 Linux 发行版都默认装了，对于极其特殊的 Linux 发行版请自行找到并安装包管理工具。

但是，即使已经通过 sudo 权限和 root 权限安装好了 Git，上述安装命令还是有可能需要 sudo 权限和 root 权限。具体原因我们可以参考 install-cli.sh 这个安装脚本。下载安装脚本的方式非常简单，打开浏览器地址栏输入这个链接 https://openclaw.ai/install-cli.sh 然后按回车即可访问其内容或者跳出下载选项，如果跳出下载选项直接下载即可，如果是网页显示内容可以复制内容到本地的一个 install-cli.sh（没有此文件就新建）。当内容复制到本地后请用文本编辑器，比如 Sublime Text，打开 install-cli.sh 文件即可看到安装脚本的源码。接着我们在脚本中搜索 sudo 和 root 两个关键字，可以发现 ensure_git 以及 install_alpine_node 两个函数中有需要 root 权限或者 sudo 权限才能执行的操作，两个函数的完整源代码如下所示：

ensure_git() {
  if command -v git >/dev/null 2>&1; then
    emit_json '{"event":"step","name":"git","status":"ok"}'
    return
  fi
  emit_json '{"event":"step","name":"git","status":"start"}'
  log "Installing Git (required for npm installs)..."
  case "$(os_detect)" in
    linux)
      if command -v apt-get >/dev/null 2>&1; then
        if is_root; then
          apt-get update -y
          apt-get install -y git
        elif has_sudo; then
          sudo apt-get update -y
          sudo apt-get install -y git
        else
          fail "Git missing and sudo unavailable. Install git and retry."
        fi
      elif command -v dnf >/dev/null 2>&1; then
        if is_root; then
          dnf install -y git
        elif has_sudo; then
          sudo dnf install -y git
        else
          fail "Git missing and sudo unavailable. Install git and retry."
        fi
      elif command -v yum >/dev/null 2>&1; then
        if is_root; then
          yum install -y git
        elif has_sudo; then
          sudo yum install -y git
        else
          fail "Git missing and sudo unavailable. Install git and retry."
        fi
      elif command -v apk >/dev/null 2>&1; then
        if is_root; then
          apk add --no-cache git
        elif has_sudo; then
          sudo apk add --no-cache git
        else
          fail "Git missing and sudo unavailable. Install git and retry."
        fi
      else
        fail "Git missing and package manager not found. Install git and retry."
      fi
      ;;
    darwin)
      if command -v brew >/dev/null 2>&1; then
        brew install git
      else
        fail "Git missing. Install Xcode Command Line Tools or Homebrew Git, then retry."
      fi
      ;;
  esac
  if ! command -v git >/dev/null 2>&1; then
    fail "Git install failed. Install git manually and retry."
  fi
  emit_json '{"event":"step","name":"git","status":"ok"}'
}

install_alpine_node() {
  local installed_version
  local required_version
  emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"start\",\"method\":\"apk\"}"
  if try_link_usable_node_runtime_from_path; then
    installed_version="$("$(node_bin)" -v 2>/dev/null || echo unknown)"
    emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"ok\",\"method\":\"system\",\"version\":\"${installed_version}\"}"
    return
  fi
  log "Installing Node via apk (Alpine Linux detected)..."
  if is_root; then
    apk add --no-cache nodejs npm
  elif has_sudo; then
    sudo apk add --no-cache nodejs npm
  else
    fail "Alpine Linux detected, but Node musl tarballs are unavailable and sudo is unavailable. Install nodejs and npm with apk, then retry."
  fi
  if [[ -x "${APK_NODE_BIN_DIR}/node" && -x "${APK_NODE_BIN_DIR}/npm" ]]; then
    link_node_runtime_paths "${APK_NODE_BIN_DIR}/node" "${APK_NODE_BIN_DIR}/npm"
  elif ! try_link_usable_node_runtime_from_path; then
    fail "apk Node install failed. Install nodejs and npm manually, then retry."
  fi
  if ! linked_node_is_usable; then
    installed_version="$("$(node_bin)" -v 2>/dev/null || echo unknown)"
    required_version="$(required_node_version)"
    fail "Alpine Node package must provide Node >= ${required_version} with node:sqlite; found ${installed_version}."
  fi
  installed_version="$("$(node_bin)" -v 2>/dev/null || echo unknown)"
  emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"ok\",\"method\":\"apk\",\"version\":\"${installed_version}\"}"
}

我们可以发现，该安装脚本 install-cli.sh 文件需要使用 root 权限或者 sudo 权限来安装 Git，这个之前已经提到了，所以这里不再重复说明。除了 Git 外，我们可以发现如果是 Alpine Linux 系统，其还需要使用 root 权限或者 sudo 权限安装 NodeJS。此外，除了这两个函数还有两个函数也用到了 sudo 权限和 root 权限，即 has_sudo 函数和 is_root 函数，两个函数的完整源代码如下所示：

has_sudo() {
  command -v sudo >/dev/null 2>&1
}

is_root() {
  [[ "$(id -u)" -eq 0 ]]
}

其中 has_sudo 函数是用来检查 sudo 命令是否存在，is_root 函数使用来检查当前用户是不是 root，它们和安装依赖没有什么关系，所以无需关注。

到目前为止，考虑到官方的安装教程已经明确说明需要通过 sudo 权限和 root 权限安装 Git 了，所以我们不去查找 ensure_git 函数在哪里调用了，但是，我们依旧需要查找 install_alpine_node 函数有没有调用。在 install-cli.sh 脚本文件中搜索 install_alpine_node 可以发现一个名为 install_node 的函数调用了它，install_node 的源码如下所示：

install_node() {
  local os
  local arch
  local url
  local tmp
  local dir
  local base_url
  local tarball
  local expected_sha
  local actual_sha
  os="$(os_detect)"
  arch="$(arch_detect)"
  dir="$(node_dir)"
  if [[ "$os" == "linux" ]] && command -v apk >/dev/null 2>&1 && is_musl_linux; then
    install_alpine_node
    return
  fi
  if linked_node_is_usable; then
    emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"skip\",\"path\":\"${dir//\"/\\\\\\\"}\"}"
    return
  fi
  emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"start\",\"version\":\"${NODE_VERSION}\"}"
  log "Installing Node ${NODE_VERSION} (user-space)..."
  mkdir -p "${PREFIX}/tools"
  tmp="$(mktemp -d)"
  base_url="https://nodejs.org/dist/v${NODE_VERSION}"
  tarball="node-v${NODE_VERSION}-${os}-${arch}.tar.gz"
  url="${base_url}/${tarball}"
  detect_downloader
  require_bin tar
  download_file "${base_url}/SHASUMS256.txt" "$tmp/SHASUMS256.txt"
  expected_sha="$(grep "  ${tarball}$" "$tmp/SHASUMS256.txt" | awk '{print $1}' | head -n 1 || true)"
  if [[ -z "${expected_sha}" ]]; then
    fail "Failed to resolve Node shasum for ${tarball}"
  fi
  download_file "$url" "$tmp/node.tgz"
  actual_sha="$(sha256_file "$tmp/node.tgz")"
  if [[ "$actual_sha" != "$expected_sha" ]]; then
    fail "Node tarball sha256 mismatch for ${tarball} (expected ${expected_sha}, got ${actual_sha})"
  fi
  rm -rf "$dir"
  mkdir -p "$dir"
  tar -xzf "$tmp/node.tgz" -C "$dir" --strip-components=1
  rm -rf "$tmp"
  ln -sfn "$dir" "${PREFIX}/tools/node"
  if ! linked_node_is_usable; then
    local installed_version
    local required_version
    installed_version="$("$(node_bin)" -v 2>/dev/null || echo unknown)"
    required_version="$(required_node_version)"
    fail "Installed Node ${NODE_VERSION} must provide Node >= ${required_version} with node:sqlite; found ${installed_version}. Re-run with --node-version 22.22.0 (or newer)"
  fi
  emit_json "{\"event\":\"step\",\"name\":\"node\",\"status\":\"ok\",\"version\":\"${NODE_VERSION}\"}"
}

我们可以注意到如果当前系统满足上述代码中的第 14 行的条件判断，就会调用函数 install_alpine_node，这个条件判断很简单，就是判断当前的操作系统是不是 Alpine Linux。到目前为止已经找到了 2 个 OpenClaw 的前置依赖，分别是 Git 和 NodeJS，其中 NodeJS 只有当目前的操作系统是 Alpine Linux 的时候才需要提前安装，如果是其他的 Linux 操作系统是不需要提前安装，因为安装脚本在其他的 Linux 操作系统上安装 NodeJS 的时候是不需要 root 权限和 sudo 权限的。

到目前为止绝大多数人会想当然的认为 OpenClaw 的前置系统依赖最多就这 2 个，用 sudo 权限装完这 2 个依赖后就可以给当前用户移除 sudo 权限或者让 sudo 密码过期就可以通过执行以下安装命令安装好 OpenClaw 了。

curl -fsSL --proto '=https' --tlsv1.2 https://openclaw.ai/install-cli.sh | bash

我首先必须承认，如果把前置依赖解决掉之后执行上述命令确实可以安装好 OpenClaw，但是在后续使用过程中还会需要一些系统级别的依赖，这些依赖依旧需要 sudo 权限和 root 权限才能安装上，因此，我们必须把这些依赖也给提前安装好。具体还有哪些依赖我们先从 OpenClaw 官方文档中查找，回到之前官方文档对应页面，考虑到之前截图少了一部分，这里重新放一下少的那一部分。

点击上方的“网关与运维”，跳转到如图所示的页面。

找到左边的“安全与沙箱”，点击其下的第 2 个子标题，即“沙箱隔离”，并点击，跳转到如图所示的页面。

之所以需要沙箱隔离上图中已经说明原因了，即“当模型做出不当操作时，它会实质性限制文件系统和进程访问”。在右边找到并点击“选择后端”，跳转到如图所示的页面。

显然，SSH 后端和 OpenShell 后端需要服务器或者在局域网内使用额外的机器来做私有服务器。但是，考虑到绝大多数人只有一个设备，所以只考虑基于 Docker 后端的沙箱，这个时候百分之百会有人质疑：“能不能让 WSL2 用两个 Linux 系统，其中一个安装 OpenClaw，另一个做所谓的远程沙箱？”我的回答是：“可以，但是我强烈不建议这样做，因为没有 Docker 保险。”之所以 Docker 后端更保险是因为 Docker 是安装在 WSL2 内部的，也就相当于给宿主机系统和沙箱之间做了 2 层隔离，一层 WSL2 虚拟机，在虚拟机内部还有一层 Docker 容器的隔离，两个 Linux 系统会导致宿主机系统和沙箱只有一层隔离，即 WSL2 虚拟机。因此，综上所述我们选择 Docker 后端。但是，要想使用 Docker 后端首先肯定要安装 Docker，安装 Docker 既可以选择直接在 WSL2 的 Linux 系统中安装 Docker Engine，也可以在宿主机安装 Docker Desktop，考虑到宿主机安装 Docker Desktop 对宿主机系统有限制（Windows 家庭版无法安装 Docker Desktop），所以我推荐直接在 WSL2 的 Linux 系统中安装 Docker Engine。到目前为止，第 3 个前置依赖已经出现了，即 Docker Engine。

是不是以为 Git、Alpine Linux 的 NodeJS 和 Docker Engine 这些就是所有的前置依赖了？！不不不，还有一些系统依赖，这些依赖就藏得更深了，需要从 OpenClaw 的 GitHub 项目源码中找，访问以下链接就可以找到 OpenClaw 的 GitHub 项目源码了：

https://github.com/openclaw/openclaw

从根目录开始，依次找到并进入 scripts 文件夹，docker 文件夹，sandbox 文件夹，最后在 sandbox 文件夹内找到 Dockerfile 文件，文件的内容如下所示：

FROM debian:bookworm-slim@sha256:f9c6a2fd2ddbc23e336b6257a5245e31f996953ef06cd13a59fa0a1df2d5c252

ENV DEBIAN_FRONTEND=noninteractive

RUN --mount=type=cache,id=openclaw-sandbox-bookworm-apt-cache,target=/var/cache/apt,sharing=locked \
  --mount=type=cache,id=openclaw-sandbox-bookworm-apt-lists,target=/var/lib/apt,sharing=locked \
  apt-get update \
  && apt-get install -y --no-install-recommends \
    bash \
    ca-certificates \
    curl \
    git \
    jq \
    python3 \
    ripgrep

RUN useradd --create-home --shell /bin/bash sandbox
USER sandbox
WORKDIR /home/sandbox

CMD ["sleep", "infinity"]

这些虽然说是沙箱内的环境所需要的东西，但是 OpenClaw 的 skill 安装会检查 WSL2 的 Linux 有没有对应可执行文件而不是检查沙箱内有没有对应的可执行文件，为了确保 skill 安装顺利，所以从第 9 行到第 15 行的这些包依旧是 OpenClaw 的前置依赖，它们分别是 bash、ca-certificates、curl、git、jq、python3 和 ripgrep，其中 bash、curl 和 git 之前有提过，所以额外的依赖也就 ca-certificates、jq、python3 和 ripgrep 这 4 个。

到目前为止，有一个坏消息和一个好消息，坏消息就是前置依赖还有，好消息是只有一个前置依赖了，它就是 LinuxBrew 或者说 HomeBrew，这是一个用户空间包管理工具，用它安装软件包是不需要 root 权限和 sudo 权限的。

综上所述，OpenClaw 安装的前置依赖如下所示：

1. bash
2. curl
3. Git
4. Docker Engine
5. ca-certificates
6. jq
7. python3
8. ripgrep
9. LinuxBrew或者HomeBrew
10. NodeJS（仅 Alpine Linux 系统需要）

需要注意的是其中有些依赖的包名称在不同 Linux 发行版中会有些不同，这些只是在 Debian 或者 Ubuntu 系统中的包名称。

好了，到目前为止 OpenClaw 的前置依赖已经全部被我找出来了。接下来进入安装步骤（以 WSL2+Ubuntu 26.04 为例，如果是其他 Linux 操作系统请自行求助 AI 解决）。

05

Windows 系统最正经的安装教程，没有之一

在讲具体如何通过无 sudo 权限的安装 OpenClaw 之前，我需要声明的是该操作假设（1）WSL2 和 Ubuntu 26.04 都已经装好；（2）Ubuntu 系统中有一个有 sudo 权限的普通用户且默认登录的用户就是该用户；（3）Ubuntu 26.04 镜像源已经配置完毕；（4）Ubuntu 系统可访问互联网；（5）WSL2 的 Ubuntu 26.04 和宿主机 Windows 系统做好了隔离，具体怎么做参考上文；（6）Ubuntu 26.04 处于启动状态并且有一个终端窗口，如无特别说明以下操作均在此终端进行。好，接下来我要介绍具体的安装步骤了，安装步骤如下所示：

（1）安装软件包，执行以下命令：

apt-get install -y --no-install-recommends \
    bash \
    ca-certificates \
    curl \
    git \
    jq \
    python3 \
    ripgrep

（2）安装 Docker Engine，参考：

https://mirrors.tuna.tsinghua.edu.cn/help/docker-ce/

（3）考虑到 Docker 守护进程默认以 root 身份运行，这就导致了一旦沙箱容器被破坏沙箱内的不可信程序会拿到 Ubuntu 26.04 的 root 权限，所以非常有必要配置 Docker 的 Rootless 模式，具体操作过程可以参考：

https://docs.docker.com/engine/security/rootless/

（4）安装 LinuxBrew 或者 HomeBrew，参考：

https://mirrors.tuna.tsinghua.edu.cn/help/homebrew/

（5）如果是 Alpine Linux 操作系统，请安装 NodeJS，否则直接跳到第 6 步

（6）禁用 root 并移除当前用户的 sudo 权限，依次执行以下命令：

sudo passwd -l root
sudo deluser <username> sudo

<username>换成对应用户名

（7）编辑 ~/.bash_profile，文件末尾添加以下内容：

. ~/.profile

（8）需要注意的是这一步是可选操作，但是以防万一我还是建议操作一下，即备份 WSL2 的 Ubuntu 26.04。首先关闭 Ubuntu 26.04 的终端，然后打开 PowerShell，依次执行以下命令：

wsl --shutdown
wsl export <发行版名称> <导出的文件>

其中 <发行版名称> 换成对应的名称；<导出的文件> 随便取，可带路径，但扩展名必须是 tar。后续出问题可以方便还原，具体还原方式很简单，先把有问题的系统删掉，然后导入这个备份，即通过 PowerShell 依次执行以下命令：

wsl --unregister <发行版名称>
wsl --import <发行版名称> <发行版路径> <之前导出的 tar 文件及其路径>

（9）启动 WSL2 的 Ubuntu 26.04，开始菜单找到对应发行版的图标点击即可启动，启动后会开一个终端。

（10）在 Ubuntu 26.04 的终端执行如下安装命令安装 OpenClaw：

curl -fsSL --proto '=https' --tlsv1.2 https://openclaw.ai/install-cli.sh | bash

如果按照上述步骤安装并配置好前置依赖，上面这个安装命令是不会向你索取 sudo 密码！！！如果它向你索取 sudo 密码，请立刻马上终止安装！！！如果它向你索取 sudo 密码，请立刻马上终止安装！！！如果它向你索取 sudo 密码，请立刻马上终止安装！！！（重要的事情说 3 遍）

（11）配置环境变量，编辑 ~/.bashrc，最后添加以下内容：

export PATH="$HOME/.openclaw/tools/node/bin:$PATH"

（12）执行命令 openclaw -V 输出 OpenClaw 的版本号就表示安装成功。

06

FAQ

Q1：只让沙箱容器化会导致网关只有一层隔离，为什么不考虑网关容器化也来实现 2 层隔离？

R1：因为（1）OpenClaw 官方提供的网关容器化安装方式需要 rootful 模式的 Docker，rootless 模式的 Docker 我不知道会不会出问题；（2）如果做了网关容器化，很难在 Windows 宿主机上通过浏览器访问 OpenClaw 控制台页面，毕竟网络比较复杂，需要先把网关容器和 WSL2 的 Ubuntu 26.04 做端口映射，然后再把 WSL2 的 Ubuntu 26.04 和 Windows 做端口映射，即两次端口映射；（3）网关容器化并不意味着 WSL2 的 Ubuntu 26.04 不会产生任何垃圾，因为网关容器需要挂载 WSL2 的 Ubuntu 26.04 的 Docker 套接字，沙箱容器和网关容器是平级的，即 DooD 架构，这引入了特定的路径映射约束。

Q2：上述步骤是不是也能适用于 VirtualBox 虚拟机或者 VMWare 虚拟机里面的 Ubuntu 26.04 系统？

R2：可以，并且不需要和宿主机 Windows 系统做好隔离，这两个虚拟机默认都帮你隔离好了，除非设置共享文件夹啥的。

总结

千重水，万重山，过了安装第一关；特权出，依赖藏，问题多多双目盲！文档看得费劲，源码更是仓皇！如此笨拙痴蠢，如何见得真章？