@tencent-weixin/openclaw-weixin · матрица версий · постепенный ClawBot · runbook из 8 шагов
Tencent ClawBot подключает личный WeChat к OpenClaw через официальный канальный плагин @tencent-weixin/openclaw-weixin (ID канала openclaw-weixin) — это не форк ядра OpenClaw. Команды с арендованным удалённым Mac в роли Gateway чаще ломаются не на модели, а на версиях хоста и плагина, QR под чужим пользователем, смешанных DM-сессиях или отсутствии UI ClawBot в постепенной раскатке. Здесь — аудируемая эксплуатация: граница личного аккаунта (ортогонально WeCom OpenClaw), матрица SSH против VNC, runbook из 8 шагов, четыре факта для тикета и FAQ. Сначала пройдите маршрут за 10 минут для CLI и Gateway; при публикации порта 18789 читайте обратный прокси HTTPS, чтобы не светить каталоги токенов и сырой порт вместе.
Привычка к Telegram или Discord обманывает: для WeChat важнее сборка хоста, среда входа, изоляция сессий и продуктовая раскатка, чем качество промпта. В разборах инцидентов повторяются шесть шаблонов — с номерами для change-тикетов.
Две линии версий: для openclaw-weixin 2.x (npm latest) нужен OpenClaw ≥ 2026.3.22. Старый хост с принудительным latest выдаёт несовместимость хоста и не грузит плагин.
QR только на машине Gateway: openclaw channels login --channel openclaw-weixin пишет токены в state работающего Gateway. SSH с другим $HOME даёт классику: «телефон подтвердил, probe пустой».
Несколько аккаунтов WeChat: каждый login добавляет запись. Без session.dmScope номера делят один DM-контейнер — логическая утечка контекста, не уязвимость WeChat.
Сначала ЛС, не группы: метаданные плагина не объявляют групповой чат. Приёмка с @ в группе заведомо провалится.
UI ClawBot и канал: пункт ClawBot в настройках WeChat раскатывается на клиенте (часто 8.0.70+). Без UI openclaw-weixin может работать по QR — в тикете фиксируйте оба статуса отдельно.
Не WeCom: личный WeChat не использует корпоративные приложения и организационный аудит. См. руководство WeCom для другого контура комплаенса.
Команды с Windows как основной ОС должны зафиксировать этот список в онбординге: удалённый Mac — не «Linux с GUI», а место хранения токенов WeChat, где VNC выравнивает пользователя macOS с launchd.
Таблица намеренно грубая: она не заменяет runbook, а отсекает «хватит SSH». На практике почти всегда побеждает связка: пакеты и логи по SSH, QR и консоль по VNC под пользователем демона.
| Приёмка | Только SSH | VNC желателен | Критерий OK |
|---|---|---|---|
| openclaw --version / doctor | достаточно | опционально | хост ≥ 2026.3.22 для 2.x |
| npx -y @tencent-weixin/openclaw-weixin-cli install | достаточно | опционально | верный dist-tag, без конфликта |
| QR channels login | ASCII-QR ненадёжен | терминал на столе + телефон | probe: connected |
| постепенный ClawBot | нет UI телефона | устройство + версия в тикете | раскатка или документированное «нет» |
| allowlist pairing | CLI approve | тестовое ЛС от незнакомца | блок до approve |
| Gateway 18789 / прокси | curl localhost | Network в браузере | loopback или TLS как в настройке pairing |
Минимальный онбординг WeChat: SSH для установки и логов, VNC для входа и консоли под тем же пользователем — не «или-или».
После апгрейда OpenClaw реестр плагинов может казаться «холодным». Сначала восстановление реестра v2026.4.25, чтобы CLI и Gateway были на одной сборке, затем openclaw-weixin — иначе иллюзия «plugin enabled, старый процесс Gateway».
Каждый шаг можно вставить в change-тикет. Порядок: версия до QR, QR до тестов pairing, pairing до боевой нагрузки ЛС.
Заморозка и бэкап: экспорт config и state OpenClaw; записать openclaw --version, сборку Gateway, пользователя launchd. С нуля: маршрут 10 минут.
Хост ≥ 2026.3.22: иначе апгрейд OpenClaw или установщик выберет compat — не угадывайте @latest.
Установщик (рекомендуется): npx -y @tencent-weixin/openclaw-weixin-cli install читает версию хоста, ставит dist-tag, ведёт к QR и перезапуску.
Вручную (воспроизводимо): openclaw plugins install "@tencent-weixin/openclaw-weixin", затем openclaw config set plugins.entries.openclaw-weixin.enabled true. Ниже 2026.3.22 не форсируйте latest.
Несколько аккаунтов: вторая линия? openclaw config set session.dmScope per-account-channel-peer — разделяет аккаунт, канал и peer.
Вход на хосте Gateway: под тем же пользователем, что launchd, выполните openclaw channels login --channel openclaw-weixin в VNC; QR и страница подтверждения должны читаться. Токены локально — высокая чувствительность.
Контроль доступа: неизвестные отправители через pairing: openclaw pairing list openclaw-weixin, openclaw pairing approve openclaw-weixin <CODE>. «Любой триггерит агента» — не прод-дефолт.
Restart и probe: openclaw gateway restart, затем openclaw channels status --probe. Короткое тестовое ЛС с одобренного контакта; фрагмент лога в тикет. Циклы рестарта: парный апгрейд OpenClaw и плагина (фиксы sidecar/iLink в свежих сборках).
openclaw --version openclaw doctor npx -y @tencent-weixin/openclaw-weixin-cli install openclaw plugins install "@tencent-weixin/openclaw-weixin" openclaw config set plugins.entries.openclaw-weixin.enabled true openclaw config set session.dmScope per-account-channel-peer openclaw channels login --channel openclaw-weixin openclaw gateway restart openclaw channels status --probe openclaw plugins list
ClawBot на телефоне: при активной раскатке привяжите ClawBot в настройках WeChat по продукту — на Gateway openclaw-weixin должен быть connected. Без UI остаётся аудируемая цепочка QR + pairing + probe, без ложной метки «сервер down».
Sidecar iLink Tencent на старых связках мог давать циклы рестарта Gateway. Стабилизируйте после согласованного апгрейда; фильтруйте логи openclaw-weixin, ilink, pairing. «Канал принимает, агент молчит» — разбор без ответа.
Mac Gateway хранит токены WeChat в открытом виде в state. Считайте арендованный узел активом уровня 0 — в офисе или у облачного провайдера Mac.
Резервное копирование: каталоги state в backup только после ACL; не синхронизируйте в публичные облака.
Pairing по умолчанию deny: неодобренные отправители не запускают shell/файловые инструменты; аудит pairing list.
Экспозиция: см. чек-лист HTTPS-прокси — порт 18789 не в интернет без аутентификации.
Контекст пользователя: SSH ≠ VNC ≠ launchd — частая полная остановка. Один пользователь — чек-лист launchd.
Раскатка: UI ClawBot и канальный плагин эволюционируют отдельно — два поля в change record.
| Пункт | VNC | SSH | OK если |
|---|---|---|---|
| plugin enabled | в списке каналов weixin | plugins list | enabled, нет ошибки хоста |
| QR login | чёткий QR, телефон OK | новый аккаунт в state | probe connected |
| ответ в ЛС | ответ в клиенте | логи inbound/outbound | дымовой тест < SLA |
| pairing | чужое ЛС блокируется | список pending | ответ после approve |
| ClawBot | скрин настроек | N/A | раскатка задокументирована |
На узле VNCMac Gateway, QR-терминал и при необходимости 18789 живут в одной графической сессии — меньше загадок с HOME, приёмка около 20 минут. Команды с Windows: слой «SSH ставит, VNC сканирует, телефон фиксирует раскатку», как в pairing v2026.4.25.
Общий Mac у нескольких разработчиков: бронируйте окна скана в календаре и указывайте пользователя macOS в журнале передачи — иначе pairing смешивается с чужими тестами и приёмка не воспроизводится.
CLI, Gateway, первый чат.
Читать →Прокси и минимальная поверхность.
Читать →Организационные учётные данные.
Читать →Авторизация IM и консоль.
Читать →Постепенная раскатка на клиенте; версия WeChat и аккаунт в тикете. Приёмка: QR openclaw-weixin + probe.
Нет. Апгрейд или npx -y @tencent-weixin/openclaw-weixin-cli install для compat/legacy.
Нет. @tencent-weixin/openclaw-weixin — личный аккаунт; у WeCom свои приложения и callbacks.
Группы не объявлены. Тестируйте ЛС с одобренным контактом.
Возможно, но VNC под пользователем Gateway предпочтительнее; настройки ClawBot на физическом телефоне.
Tencent ClawBot и openclaw-weixin снижают порог WeChat в стеке агента — стабильность дают дисциплина версий, один пользователь для скана и демона, per-account-channel-peer, дефолты pairing и признание сначала ЛС, без групп. Свой железный Mac: сон, дрейф IP, общие столы; арендованный Apple Silicon с одним рабочим столом VNC для Gateway и QR часто сжимает «установили, но ЛС нет» с часов до ~20 минут аудируемой приёмки.
Для приёмки из раздела 6: VNCMac — купить Mac в облаке, подключение на главной и в справке SSH-VNC.