OpenClaw Control UI安全上下文访问配置

国产化创客2026-03-14 15:22

1、局域网访问问题

  • 设备:树莓派 4B
  • 系统:Raspberry Pi OS(64-bit基于 Debian)
  • OpenClaw 版本2026.3.8 (3caab92)

在树莓派本机访问时没有问题,现在局域网另一台PC访问,出现如下界面:

当从局域网其他设备(如手机、笔记本)访问 OpenClaw Web UI 时,出现:

复制代码 
control ui requires device identity (use HTTPS or localhost secure context)

这是因为 OpenClaw 2026+ 版本强制要求 Control UI 必须在"安全上下文"中运行 ,而 http://192.168.x.x:18789 不属于安全上下文。

OpenClaw (或类似现代 Web 控制界面)出于安全策略强制要求:

只有在"安全上下文"(Secure Context)下才能访问 Control UI,以保护设备身份和认证凭据。

步骤(在你的电脑上操作):

  1. 打开终端(Windows 用 PowerShell / WSL,Mac/Linux 用 Terminal)

  2. 建立 SSH 隧道 (假设树莓派用户名是 pi,IP 是 192.168.1.100):bash编辑

    ssh -L 18789:localhost:18789 pi@192.168.1.100

如果你改过用户名(如 raspberrypi),请替换 pi

  1. 保持终端窗口开启(隧道会持续运行)

  2. 在本机浏览器打开文本编辑

    http://localhost:18789/?token=你的实际token

此时浏览器认为你访问的是 localhost → 属于安全上下文 → Control UI 正常加载!

如何获取 token

在树莓派上运行:

复制代码 
openclaw config get auth.token
# 或
grep -oP '(?<="token": ")[^"]*' ~/.openclaw/openclaw.json

输出类似:

复制代码 
sk-oc-abc123def456ghi789

所以完整 URL 是:(注意一定要使用本机地址127.0.0.1

复制代码 
http://127.0.0.1:18789/?token=sk-oc-abc123def456ghi789

即可安全使用 OpenClaw Web UI!

2、直接通过 IP 访问(如用手机)

那么必须启用 HTTPS。以下是具体步骤:

步骤 1:生成自签名证书(在树莓派上)

复制代码 
mkdir -p ~/.openclaw/ssl
cd ~/.openclaw/ssl

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
  -keyout key.pem -out cert.pem \
  -subj "/CN=raspberrypi.local"

你可以把 raspberrypi.local 换成你的树莓派 IP 或主机名。

步骤 2:修改 OpenClaw 配置

编辑配置文件:

复制代码 
nano ~/.openclaw/openclaw.json

确保包含以下内容:

复制代码 
{
  "gateway": {
    "port": 18789,
    "bind": "lan",
    "tls": {
      "cert": "/home/pi/.openclaw/ssl/cert.pem",
      "key": "/home/pi/.openclaw/ssl/key.pem"
    },
    "controlUi": {
      "enabled": true,
      "allowedOrigins": ["https://192.168.1.100:18789"]
    }
  },
  "auth": {
    "token": "sk-oc-abc123def456ghi789"
  }
}

注意:

  • 路径中的 /home/pi/ 要替换成你的实际用户家目录(如用 ubuntu 用户则是 /home/ubuntu/
  • allowedOrigins 必须是 https://...

步骤 3:重启 OpenClaw

复制代码 
openclaw gateway restart

步骤 4:在手机/电脑浏览器访问

复制代码 
https://192.168.1.100:18789/?token=sk-oc-abc123def456ghi789

首次访问会提示"不安全连接",点击 高级 → 继续前往 即可。

之后即可正常使用,且满足安全上下文要求。

3、不推荐的方式

  • 不要设置 allowInsecureContext: true

    OpenClaw 2026.3.8 已移除该选项(出于安全强化),即使手动添加也无效。

  • 不要尝试降级版本

    旧版存在未修复漏洞,不建议。

总结(树莓派 4B + OpenClaw 2026+)

|-----------|-------------------------------|
| 需求 | 推荐方案 |
| 临时管理(电脑) | SSH 隧道 + localhost(最简单安全) |
| 手机/平板长期使用 | 启用 HTTPS + 自签名证书 |
| 公网访问 | 禁止!除非配合反向代理 + 有效证书 + 身份认证 |

相关推荐
霸道流氓气质16 小时前
Kiro 多工程协作与上下文引用技巧
ai
小七-七牛开发者17 小时前
AI Agent 的 4 个工程关键词:Prompt、Context、Loop、Harness 到底是什么?
ai·大模型·agent·token·context·loop·codex·harness
yychen_java18 小时前
当算法成为武器:AI泛滥时代的多维危机透视与治理路径
网络·人工智能·ai
Samooyou18 小时前
大模型微调(Fine Tuning)
人工智能·python·ai·语言模型
土星云SaturnCloud18 小时前
边缘计算赋能智慧工地:从“看得见“到“管得住“的智能化升级
服务器·人工智能·ai·边缘计算
Flittly19 小时前
【AgentScope Java新手村系列】(2)第一个Agent-基础对话
java·spring boot·spring·ai
是发财不是旺财19 小时前
Hermes 网关四层权限控制方案:让 AI Agent 安全地查数据库
数据库·安全·agent·openclaw·hermes
ZeroNews内网穿透19 小时前
NAS部署Hermes AI Agent + 零讯内网穿透,实现远程可管理的AI助手
人工智能·安全·ai·内网穿透
毕竟是shy哥19 小时前
Claude Code 接入 DeepSeek 保姆级教程,WSL/Linux 通用
linux·安装教程·codex·deepseek·claude code·openclaw
无心水20 小时前
【Hermes:团队、企业、生态与边界】47、Hermes 在 CI/CD 中的完整 DevOps 流水线:从 PR 审查到自动部署,让 Agent 接管你的发布流程
运维·人工智能·devops·openclaw·养龙虾·hermes·honcho
热门推荐
01《置身钉内》原文-可播放阅读02【AI】2026 年具身智能模型和世界模型总结03Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析04AI科技热点日报 | 2026年6月1日052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06GitHub 镜像站点072026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf08Codex 下载安装指南:Windows 和 macOS 官方版下载092026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?10【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法