树莓派OpenClaw部署:月费低于10美元的家庭AI智能体安全搭建指南

Image

本指南以安全性为最高优先级,旨在帮助您部署家庭本地AI智能体,无需依赖任何云服务,完全掌控数据与权限。我并不反对使用VPS,我个人也有一套VPS运行方案,但相比之下,利用树莓派或Mac mini进行本地运行更加简便直观,根据实际经验,树莓派作为原生环境,操作起来更为方便直接。

撰写本指南的初衷是让非技术人员也能轻松上手,仅需复制粘贴命令即可完成部署。尽管市场上一键方案众多,但我始终将安全性放在首位。本方案通过多层防护降低风险,重点介绍如何从最小权限、Tailscale加密和手动配置开始,构建一套足够安全的私人AI智能体。

文章内容较为详细,建议您准备一杯咖啡,耐心阅读。

OpenClaw的运行安全性如何?

没有任何AI系统或模型能够保证绝对安全,但通过一系列安全加固措施,可以显著缩小潜在风险的影响范围。所谓风险影响范围,简单来说,就是一旦出现问题,这些方案能将智能体可能造成的破坏限制在最低程度。

为何将安全性置于首要位置?

Image

OpenClaw是一款功能强大的工具,您甚至可以用它在手机上直接生成网站。但这也意味着,它需要访问您的私人文件、系统登录信息以及关键安全配置。如果安全级别不足,后果可能非常严重。

整套方案需要多少费用?

Image

如果您已经拥有一台树莓派,那么唯一的成本就是模型API的费用。

我个人在树莓派上使用Kimi 2.5,在VPS上使用GLM,两者表现都不错,仅在速度上略有差异,主要区别在于价格。Claude的成本至少是它们的10倍,速度确实很快,但对于非技术或非开发人员而言,GLM和Kimi已经完全足够使用。

具体费用如下:

  1. 树莓派4b或5,配备4GB内存(如果已有设备,此项可忽略)
  2. GLM 4.7模型Lite计划(相当于Claude Code使用量的3倍) - 每月3美元
  3. 如果您想使用Kimi 2.5 - 20美元(其性能比GLM更快更优)

仅此而已!这些就是您的全部费用。其他费用取决于您是否需要任何自定义技能或不同的语言模型。

让我们开始设置吧!

在Mac上创建SSH密钥以访问树莓派

什么是SSH密钥?您可以将SSH密钥视为一种极难猜测的特殊密码。每次连接到树莓派时,无需输入密码,您的计算机会自动使用此密钥验证身份。当您希望以无头方式(即无需屏幕或键盘)控制树莓派时,这种方法非常有效。

为何它更安全:

  • 无需记忆或担心密码被盗
  • 无法被暴力破解
  • 每个设备都拥有独一无二的密钥

双密钥系统

创建SSH密钥时,您会得到两个文件:

  1. 私钥 - 保存在您的Mac上(非常重要!它赋予了对树莓派的远程访问权限)
  2. 公钥 - 放置在您的树莓派上

这就像锁和钥匙:树莓派拥有锁(公钥),您的Mac拥有钥匙(私钥)。

如何创建SSH密钥

shell

ssh-keygen -t ed25519 -C "raspberry-pi"

此命令的作用:专门为您的树莓派创建一个新的SSH密钥。对于接下来的提示,只需按回车键,因为密钥将存储在默认位置。

获取树莓派的公钥

shell

cat ~/.ssh/id_ed25519.pub

这将输出一个公钥地址,如下所示。

ssh-ed25519 AAA23423sfdafsdfTE5AAAAIJw… raspberry-pi

复制此密钥,并在安装树莓派操作系统时粘贴到SSH设置中。

使用笔记本电脑设置树莓派的SSH

此设置假设您已将树莓派操作系统安装到SD卡上,并启用了SSH。这里唯一需要记住的是要启用SSH并粘贴公钥而不是密码。这将省去存储任何密码的麻烦。

使用Tailscale连接您的设备

什么是Tailscale?

Image

想象一下为您的设备创建一个专用互联网。这就是Tailscale的作用。普通互联网中,您的树莓派和Mac通过路由器、ISP和公共互联网进行通信,任何人都有可能拦截数据。Tailscale作为第一道防线,即使步骤稍长,也请不要跳过。

使用Tailscale:您的设备会直接创建一个加密隧道进行通信。就像它们在同一个专用网络上一样,即使一个在家,一个在咖啡店。

为何您需要它:

  • 从任何地方(工作、度假、任何有互联网的地方)访问您的树莓派
  • 所有通信都会自动加密
  • 无需复杂的路由器设置
  • 即使在防火墙后也能正常工作

创建Tailscale账户(个人使用完全免费)

访问:https://tailscale.com

点击“开始使用”并用您的电子邮件ID注册。就这样。需要记住的是,它最多支持3台设备免费使用,如果您只使用Mac和树莓派,那就足够了。

在树莓派和Mac上安装Tailscale

  1. 从您的Mac上,首先打开终端并通过SSH连接到您的树莓派。

shell

ssh yourusername@yourpi.local

您的用户名是您在设置树莓派时保存在树莓派成像器中的用户名。

  1. 安装Tailscale:

shell

curl -fsSL https://tailscale.com/install.sh | sh
  1. 将您的树莓派连接到Tailscale:

shell

sudo tailscale up

您将看到一条消息,例如:

要进行身份验证,请访问:

https://login.tailscale.com/a/abc123xyz

按照链接登录到您的Tailscale账户。您刚刚连接了第一台设备。您应该能在Tailscale仪表板上看到您的设备用户名,并显示绿色信号表示已连接。

  1. 将您的Mac连接到Tailscale:

访问:

https://tailscale.com/download

下载macOS版本并安装(拖到应用程序文件夹)。

从应用程序文件夹中打开Tailscale。

点击“登录” - 它将打开您的浏览器。

使用您之前使用的同一个Tailscale账户登录。恭喜!现在您的两台设备可以通过安全通道相互通信了。

如何通过Tailscale将您的Mac与树莓派连接

还记得之前您学到的如何使用SSH与树莓派通信吗?现在,您将使用Tailscale IP而不是用户名来控制树莓派。

shell

ssh yourusername@100.xx.xx.xx (这是您的Tailscale IP)

这里的问题是,我如何知道我的Tailscale IP是什么?这很简单,有两种方法可以做到:

  1. 在浏览器中访问您的Tailscale仪表板,并复制树莓派设备列表旁边的IP。
  2. 从树莓派终端(即当您从Mac远程控制时),输入以下命令。

shell

tailscale ip -4

注意 - 请确保您的两台设备在开机时都连接到Tailscale,最简单的方法是在设备终端中输入sudo tailscale up。

恭喜您读到这里。现在您已经建立了第一道防线,因此我们可以开始安装OpenClaw了。请记住,Tailscale只是您的安全加固协议之一,还有很多其他协议,但我的目的是让您快速入门。

让我们安装OPENCLAW

这部分实际上是所有步骤中最简单的,它的设置非常周到,充分考虑到了用户的入门体验。

先决条件

在开始之前,请确保您已具备:

  • 连接互联网的树莓派
  • 通过Tailscale使用SSH访问您的树莓派
  • 确保您的Mac也连接到Tailscale

步骤 1. 要安装OpenClaw,只需在树莓派终端中输入以下命令

shell

curl -fsSL https://openclaw.ai/install.sh | bash

步骤 2:完成入门向导

安装脚本会自动启动入门向导。按照提示进行配置:

  1. 网关模式 - 选择本地
  2. 工作空间目录 - 选择默认位置,这样更容易管理和遵循文档说明
  3. 模型认证 - 配置您的AI模型提供商和API密钥。这是您将输入模型API密钥的地方。我正在使用GLM和Kimi2.5。GLM模型的链接 -
  4. 网关配置 - 端口 - 18789 绑定地址 - Tailnet - 仅Tailscale IP 认证 - 令牌(推荐),为了更好的安全性,选择令牌。网关令牌 - 按回车键自动生成一个安全的随机令牌,或输入您自己的令牌。Tailscale配置 - 关闭(不暴露Tailscale)
  5. 频道 - 配置Telegram、Discord或其他消息平台。我将只使用Telegram —-> Telegram(Bot API),按照接下来的步骤获取此令牌

Telegram配置

您需要先创建一个Telegram机器人:

  • 在手机上打开Telegram
  • 搜索
  • 发送:/newbot
  • 按照提示为您的机器人命名
  • 复制BotFather给您的令牌
  • 将其粘贴到上一节步骤5中

回到您的OpenClaw设置中:

Telegram的直接消息访问策略

  1. 现在是否配置直接消息访问策略? —-> 是
  2. Telegram直接消息策略:—-> 配对(用户必须获得批准)

配对:最安全 - 您批准每个新用户
允许列表:预先批准的用户列表
开放:任何人都可以发送消息(不推荐)

现在来添加技能

这取决于您想要哪些服务,但这部分也是最危险的,容易受到提示注入攻击,所以请小心操作。恭喜!您现在拥有了一台完全属于自己、本地运行、安全加密、低成本的AI智能体。希望这份指南能帮您顺利搭建自己的私人AI助理。