Запуск браузерного агента OpenClaw на арендованном bare-metal Mac 24/7 или на краткий/средний срок в 2026 году типичен для growth-, QA- и RPA-команд: ноутбук оркестрирует, gateway и управляемый профиль Chromium остаются в ЦОД. Стабильная линия — 2026.5.2 по документации браузера на docs.openclaw.ai. Ниже — развёртывание с нуля, CDP/attachOnly, TCC и аренда/железо — не loopback/token (см. перекрёстная приёмка loopback-токена: doctor и probe) и не базовая аренда шлюза (кратко- и среднесрочная аренда удалённого Mac под Gateway).
1. Границы: управляемый профиль, attachOnly и Remote CDP
| Режим | Кто запускает браузер | Типичная конфигурация | Подходит для удалённого Mac |
|---|---|---|---|
Управляемый профиль openclaw | OpenClaw запускает изолированный Chromium | browser.profiles.openclaw | По умолчанию — изолированная сессия |
| attachOnly | Браузер уже запущен (вы или сторонний сервис) | attachOnly: true + cdpUrl | Browserless, loopback-отладка |
| Remote CDP | Chromium на другой машине | cdpUrl: wss://... | relay Node host или SSH-туннель |
Когда не брать attachOnly в первый день: с 2026.3.22 relay расширения Chrome снят — existing-session не проходит через чистый SSH headless; используйте Node host или Remote CDP. Для изолированной автоматизации не подключайте личный профиль Chrome.
2. Развёртывание с нуля на US East/APAC (2026.5.x)
- Node 22 или 24 с одним глобальным префиксом npm.
- Установка:
curl -fsSL https://openclaw.ai/install.sh | bashилиnpm i -g openclaw@latest. openclaw onboard: включитьbrowser.enabled;tools.alsoAllow: ["browser"]для агентов с инструментом browser.- launchd для постоянного Gateway (Standard 18789); сервис управления браузером примерно
gateway.port + 2. openclaw gateway probeпроверка доступности.openclaw browser --browser-profile openclaw doctor→start→status --json.
openclaw backup create → openclaw doctor --fix → openclaw gateway restart, затем browser doctor по каждому профилю. См. также обновление 2026.5.x: Gateway probe и doctor.3. browser.profiles и план портов CDP
| Профиль | cdpPort | Примечания |
|---|---|---|
| openclaw | 18800 | Управляемый по умолчанию |
| work | 18801 | Опциональная headless-пакетная ветка |
| browserless | — | cdpUrl + attachOnly: true |
Локальный пул 18800–18899. Несколько Gateway на одном хосте — разнести порты. При устаревшем cdpUrl после перезапуска: удалить просроченные WebSocket URL из конфига, gateway restart, dann browser start. Loopback Browserless на том же хосте требует attachOnly: true, иначе OpenClaw может считать порт управляемым профилем и сообщить конфликт владения.
4. TCC и запись экрана: только SSH и VNC
| Разрешение | Только SSH | VNC |
|---|---|---|
| Automation / Универсальный доступ | Первую выдачу так не сделать | Systemeinstellungen → Политика конфиденциальности |
| Запись экрана | Снимки могут быть чёрными | Разрешить, затем снова snapshot |
См. macOS TCC, Node 24 и удалённый Gateway; доставка SSH/VNC — в центре помощи.
5. doctor / status / probe и дерево ошибок CDP
- L0 Gateway:
openclaw doctor→gateway status→gateway status --require-rpc→gateway probe(подробнее про launchd и журналы: стабильность шлюза в launchd — doctor, status и logs) - L1 Browser:
openclaw browser --browser-profile <name> doctor [--deep]→status --json - L2 CDP HTTP:
curl -s http://127.0.0.1:<cdpPort>/json/version
| Симптом | Действие |
|---|---|
| profile not running | При attachOnly сначала запустить Chromium; или управляемый профиль |
| cdpReady false | Освободить порт; на медленном хосте увеличить localCdpReadyTimeoutMs |
| stale cdpUrl | Очистить конфиг → gateway restart → browser start |
| Token / Auth-Mismatch | gateway.auth.token согласовать с заголовками клиента; см. статью про loopback выше |
6. Эталонные сценарии (только архитектура)
- Мониторинг конкурентов: управляемый профиль + Cron →
snapshot→ object storage; крупные артефакты не тянуть на ноутбук оператора. - QA форм: отдельный профиль
work; при сбое — headed через VNC. - Пакетные задачи навыков: масштабировать на несколько машин — не сажать много профилей на один хост на порт 18800.
7. Разделение на хосте: браузер и Xcode / Runner
Браузерные агенты на младшем M4 с большим диском; xcodebuild Archive и тяжёлые сборки — на узел с большим ОЗУ. Если на одном хосте: разные каталоги user data и сдвиг расписания launchd. Очереди диска: корпоративный Mac CI: кэш Bazel/Gradle и NVMe.
8. US East и APAC: задержка и выгрузка снимков/PDF
| Операторы в | Предпочтительный узел | Типичный RTT |
|---|---|---|
| Китай / ЮВА | Singapur, Hongkong, Tokio | ~30–80 ms |
| Северная Америка | US West | ~60–90 ms через США |
| Жёсткая межконтинентальная пара | По возможности избегать | 130–190 ms+ |
Крупные PDF и снимки страдают от высокого RTT — хранилище рядом с браузером, не на ноутбуке.
9. Три уровня M4 + 1 ТБ/2 ТБ параллельно против одного M4 Pro
| Измерение | Уровень A + 1 ТБ | Два уровня A + 2 ТБ | Один M4 Pro |
|---|---|---|---|
| Cache / Snapshots | Один профиль, еженедельная очистка | Изоляция профилей по хостам | Больше ОЗУ, меньше swap |
| Стоимость кратко/средний срок | Ниже аренда неделя/месяц | Всплеск с доп. хостами по дням | Дорого в простое |
| Когда не выбирать | Много профилей борются за ОЗУ | Не хотите мультипорт | Только лёгкий профиль |
Цены и наличие: страница тарифов и оформление заказа — цифры здесь для решений, не оферта.
10. SSH-туннель и Tailscale Serve (для браузера)
SSH -L для 18789 и 18800 ноутбук вызывает Gateway/CDP локально; токен gateway на каждом клиенте. Tailscale Serve удобен для стабильных точек входа команды. Отдельный loopback HTTP API браузера не принимает заголовки Tailscale identity — нужен shared-secret (статьи Tailscale на сайте; здесь только сравнение доступа к браузеру). Не выставляйте порты CDP в публичный интернет.
11. Обновление и откат
openclaw update→backup create→doctor --fix→gateway restart- По профилю:
browser stop→start - Откат: восстановить backup и зафиксировать версию; не копировать каталоги профилей между major
Blue/green при длительной аренде: blue/green на удалённом Mac и порт 18789. Изоляция нескольких команд: совместный удалённый Mac: границы шлюза и Runner.
12. FAQ
- Хватит ли недели на проверку? Да, если onboard и
snapshotодного профиля проходят doctor и probe. - attachOnly: не запущен? Сначала
curl /json/version; обновить до 2026.5.2+; очиститьcdpUrl. - Можно без VNC? Gateway может оставаться CLI-only; первые TCC — через графику.
- Несколько профилей параллельно? Ограничено ОЗУ и
tabCleanup— лучше отдельные хосты. - Headless на удалённом Mac? Без DISPLAY управляемые профили могут уйти в headless; снимки всё равно требуют Screen Recording.
- Сосуществование с Runner? Разные пользователи или машины; диск не делить с DerivedData.
- US East или APAC? Раздел 8; команды Китая/ЮВА обычно APAC.
- 1 ТБ или 2 ТБ? 2 ТБ при хранении снимков 30+ дней.
- Нет
openclaw browser? проверитьplugins.allowсbrowserиbrowser.enabled. - После обновления CDP мёртв?
doctor --fix, перезапуск Gateway, профили по одному. - Когда не нужны два хоста уровня A? Один лёгкий профиль без spill сборок — один M4 Pro проще, но дороже в простое.
Почему удалённый Mac mini подходит для постоянных браузерных агентов
Apple Silicon с единой памятью помогает при многих вкладках Chromium; Mac mini подходит для Gateway 24/7; macOS сохраняет единообразие TCC и доставки VNC. Нужны изолированные профили и запас диска под кэш и снимки, а не второй открытый ноутбук.
Сравните узлы US West и APAC, три уровня M4 и расширение 1 ТБ/2 ТБ на главной Macstripe; актуальные цены — на странице тарифов; настройка SSH/VNC — в центре помощи.
