Como instalar o OpenClaw Gateway: guia direto e seguro

Como instalar o OpenClaw Gateway: guia direto e seguro

Resposta rápida

Para instalar o OpenClaw Gateway: máquina sempre ligada com macOS, Linux ou Windows (WSL2) + Node.js 22.19+, depois 'npm install -g openclaw@latest' e 'openclaw onboard –install-daemon'. Conecte um canal (WhatsApp, Telegram…), pareie o celular com aprovação manual e faça o hardening mínimo: nunca expor a porta 18789 — acesso remoto só via Tailscale/wss://.

  • Instalação real são 2 comandos: npm install -g openclaw@latest e openclaw onboard –install-daemon.
  • Requisitos: Node.js 22.19+ (recomendado 24); Windows só via WSL2.
  • O Gateway escuta na porta 18789 (WebSocket) — nunca a exponha à internet aberta.
  • Acesso remoto seguro = Tailscale com endpoint wss:// (TLS).
  • Comandos sensíveis (câmera, tela) vêm desligados e só funcionam via allowlist explícita.
  • Teste no PC, opere em máquina sempre ligada; o LLM costuma custar mais que a VPS.
Comandos de instalaçãonpm install -g openclaw@latest + openclaw onboard –install-daemon
RequisitoNode.js 22.19+ (recomendado 24)
PlataformasmacOS, Linux, Windows via WSL2
Porta do Gateway18789 (WebSocket, nunca expor)
Acesso remotoTailscale + wss:// (TLS)
Tempo de instalação~10 minutos

O OpenClaw não é um app que você baixa e pronto: o coração dele é o Gateway, o servidor self-hosted que roda o agente. É ele que conversa com o WhatsApp, executa as skills, guarda a memória e recebe os apps de celular. Este guia mostra como instalar o OpenClaw Gateway do zero — com os comandos reais, as decisões que importam e o hardening mínimo pra você não colocar um agente com acesso à sua vida exposto na internet aberta.

O que você precisa antes de começar

  • Uma máquina sempre ligada: VPS, homelab, Mac mini ou o PC de trabalho. O Gateway roda em macOS, Linux ou Windows via WSL2 — no Windows, ele não roda nativo; o WSL2 é o caminho suportado.
  • Node.js: versão 22.19 ou superior (24 é a recomendada). O núcleo do OpenClaw é TypeScript sobre Node.
  • Um LLM pra plugar: chave de API (Gemini, OpenAI, Anthropic) ou modelo local. O Gateway é agnóstico — o cérebro linguístico é componente trocável.
  • 10 minutos e um terminal. Não precisa ser devops; precisa não ter medo de linha de comando.

Instalação em 2 comandos

Com o Node no lugar, a instalação oficial é direta:

npm install -g openclaw@latest
openclaw onboard --install-daemon

O onboard é um assistente interativo: ele configura o essencial, pergunta qual modelo você quer usar e — com --install-daemon — deixa o Gateway rodando como serviço, ou seja, ele volta sozinho se a máquina reiniciar. Ao final você tem o processo escutando na porta 18789 (WebSocket), que é onde canais e dispositivos se conectam.

Conectando o primeiro canal e o celular

Com o Gateway no ar, você escolhe por onde conversar: WhatsApp, Telegram, Discord, Slack, Signal ou iMessage. Cada canal tem seu fluxo de autenticação no onboarding — o do WhatsApp, por exemplo, funciona no esquema de parear como o WhatsApp Web.

Pra transformar o celular em node do agente (câmera, localização, voz e Canvas), instale o app oficial — Android na Google Play ou iOS na App Store — e pareie: na mesma rede Wi-Fi o app acha o Gateway sozinho (mDNS); fora dela, use um túnel seguro. O pareamento exige aprovação explícita no Gateway:

openclaw devices list
openclaw devices approve <requestId>
openclaw nodes status   # confirma: paired · connected

Cobrimos o lançamento e o que os apps móveis adicionam ao agente na nossa matéria sobre o OpenClaw no Android e iOS.

O hardening mínimo (não pule esta parte)

Um agente que lê seu e-mail e executa comandos merece o mesmo zelo de um servidor de produção. O essencial:

  • Não exponha a porta 18789 à internet. O tráfego sem criptografia (ws://) é limitado à rede local por padrão — respeite isso. Pra acesso remoto, a recomendação oficial é Tailscale com endpoint wss:// (TLS), que cria uma rede privada entre seus dispositivos sem abrir porta pro mundo.
  • Comandos sensíveis ficam desligados por padrão — foto (camera.snap), gravação de tela (screen.record) — e só funcionam se você liberar um a um na allowlist (gateway.nodes.allowCommands no ~/.openclaw/openclaw.json). A deny list sempre vence a allowlist. Libere o mínimo que a sua rotina usa.
  • Cada dispositivo pareado exige aprovação manual — e um node não consegue se promover a outro papel depois. Desconfie de qualquer tutorial que mande desligar essas proteções.
  • Skills e plugins: instale só de fonte auditável. Já houve alerta de fornecedores de segurança sobre plugins maliciosos no ecossistema — código aberto é auditável, não auditado por mágica.

VPS, homelab ou PC: onde faz mais sentido?

OpçãoPrósContras
VPSSempre no ar, IP estável, não depende da sua energiaCusto mensal; mais um servidor pra cuidar
Homelab / Mac mini / PiCusto marginal ~zero; dados 100% em casaDepende da sua internet e energia
PC de trabalhoZero setup extra; ótimo pra testarAgente dorme quando o PC desliga

Regra prática: teste no PC, opere num lugar sempre ligado. Se for de VPS, o custo do modelo de linguagem costuma pesar mais que o da máquina — vale entender o custo de tokens de LLM em produção antes de escolher o cérebro do agente.

Instalou. E agora?

Os próximos passos naturais: instalar as primeiras skills (os “superpoderes” do agente), conectar integrações via MCP e colocar o agente pra trabalhar de verdade — do inbox zero à publicação automática no WordPress. É exatamente a sequência dos próximos guias da série OpenClaw aqui no WPRaiz.

Perguntas frequentes

O OpenClaw Gateway roda no Windows?

Sim, mas via WSL2 (Windows Subsystem for Linux) — não há suporte nativo ao Windows. No macOS e no Linux ele roda direto. Node.js 22.19+ é requisito em qualquer plataforma.

Preciso de uma VPS para usar o OpenClaw?

Não. Qualquer máquina sempre ligada serve: homelab, Mac mini, Raspberry Pi ou até o PC de trabalho para testar. A VPS é a opção 'sempre no ar sem depender da sua energia' — e o custo do LLM costuma pesar mais que o da máquina.

É seguro deixar o Gateway acessível pela internet?

Expor a porta 18789 diretamente, não. O caminho recomendado é Tailscale com endpoint wss:// (TLS), que cria uma rede privada entre seus dispositivos. Além disso, comandos sensíveis vêm desligados por padrão e cada dispositivo exige aprovação manual.

Quanto tempo leva a instalação?

Com o Node.js já instalado, cerca de 10 minutos: dois comandos (npm install -g openclaw e openclaw onboard –install-daemon), a escolha do modelo de IA e a conexão do primeiro canal.