OpenClaw 已在 遠程 Mac 跑起來,但回答仍像「離線」——通常是沒有把 內置聯網搜索 配到位。2026 年工具鏈把檢索拆成 工具族:廣域查詢走 web_search,單頁抓取走 web_fetch,遇到強 JS/反爬可用 Firecrawl 一類抓取回退。本文區別於 v2026.3.28 插件審批 與 瀏覽器 MCP 專文,只講 提供方取捨、啟用順序、密鑰、允許列表、/approve、配額/429、空結果與日誌排查,並給 VNC 核對表(SSH 看不到的網關控制臺與系統彈窗)。若「能搜但人不回」,請交叉閱讀 無回復排查 與 launchd 守護。
常見症狀:寧願複製長文檔也不信檢索;演示後馬上 429;明明寫了 .env 仍提示 web search disabled。解決很少靠單開關,而是 順序:doctor 基線 → openclaw configure --section web 或 JSON → launchd/SecretRef 一致的密鑰 → 允許列表 → 渠道探針 → 審批面 → 結構化降級。
讀者與邊界
本文面向已在 macOS 上落地 OpenClaw、需要穩定公網檢索的運維與開發者,不覆蓋首次安裝。它與插件審批、瀏覽器 MCP 文章互補,單獨聚焦搜索提供方、配額與失敗特徵。
若仍在驗證 SSH,請先完成對應平臺的首次連接清單,再調搜索。搜索一旦進入關鍵路徑,就應像其他生產依賴一樣管理:配置要版本化,記錄當前生效的 Agent 配置檔,並在事故時準備收窄工具允許列表的回滾方案。
痛點與邊界
- 工具混淆: 瀏覽器 MCP 控制真實 Chrome;內置搜索走供應商 API。無邊界混用會雙倍計費、引用衝突。
- 允許列表漂移: 升級可能新增工具名;活動配置缺
web_search或group:web時模型易「假裝上網」。 - 密鑰掛載: 只在交互 shell export,launchd 起的服務未必繼承;要與實際 Gateway 啟動方式一致。
- 審批卡死: requireApproval 可能阻塞到 /approve 完成——尤其 Telegram/Discord;見審批專文。
- 配額形態: 429 常來自並行子代理或重試;先限並發再換供應商。
- 空結果: 站點過濾/語言提示過嚴會出現 HTTP 200 但零行——按查詢調優處理。
- 可觀測性缺口: 若日誌只有模型對話而沒有工具元數據,可能永遠看不到供應商 HTTP 狀態。開供應商務前,先打開包含工具名、耗時與狀態碼的 Gateway/工具鏈路追蹤。
- 多環境密鑰混用: 預發與生產共用一把 API Key 會讓 429 無法歸因。按環境拆分密鑰,並在編排層給金絲雀流量打標籤。
日誌、策略面與能扛升級的排障手冊
把 web_search、web_fetch 與抓取回退分開看
用戶說「搜索壞了」,實際可能是單頁抓取超時、TLS 中間人、或 Firecrawl 配額耗盡。換供應商前,先拿一條會話或請求 ID,把工具鏈路從頭到尾對齊:供應商名、HTTP 碼、重試次數、模型是否在並行重試。把多條子代理的日誌攪在一起,最容易把 429 誤判成鑑權問題。
企業出口與 DNS 也會偽裝成配額問題
分域 DNS、強制門戶、TLS 審查可能返回「HTTP 200 但正文為空」,或慢到像被限流。把 Gateway 主機的出口路徑寫進提供方矩陣。遠程 Mac 上可用 VNC 打開 Safari 或在與服務相同用戶上下文跑 curl,驗證能打到供應商——交互 SSH 會話與 launchd 服務的代理/環境往往並不一致。
手冊順序:進程環境 → allowlist 對比 → 最小復現 → 並發
固定順序:確認運行中 Gateway PID 可見的環境變量;對照發行說明檢查有效 allowlist(工具名常變);在允許的前提下於 LLM 外復現最小查詢;最後才減並行工具調用與子代理。升級後少了 group:web 時,反覆輪換密鑰通常無效,卻最耗時間。
成本與安全:儀錶盤之外再加一層
控制臺看的是月度總量,Agent 帶來的是突發流量。除了供應商封頂,還要在編排側限制每會話最大並行搜索、對近似查詢去重,並為敏感渠道提供「禁止搜索」模式。把這些限制寫進 SOUL/MEMORY,避免半年後沒人記得為何 allowlist 更嚴。
搜索提供方決策矩陣(示意)
| 模式 | 適用 | 注意 |
|---|---|---|
| Brave Search(常見默認) | 通用檢索、偏隱私默認 | 關注月度上限與引用格式 |
| Tavily 等 AI Search API | 結構化片段給 Agent | 付費檔位;收緊 include_domains |
| 類 Perplexity 棧 | 帶連結的合成答案 | 成本更高;合規核對引用 |
| Gemini / Google 密鑰 | 已統一 Google AI 計費 | 密鑰勿入庫;用 SecretRef 輪換 |
| Firecrawl 走 fetch | 單 URL 深度抓取/反爬頁 | 配額與 search 分開記帳 |
| Bing / 更廣的 SERP API | 需要傳統藍鏈覆蓋或強地域結果 | 核對合規與緩存策略;部分棧禁止長期落盤原始 SERP |
| 自建檢索/內網索引 | 公網搜索被策略攔截或需離線 | 你負責時效、可用率與向量化流水線——別把它當成「免費搜索」 |
九步啟用與驗證階梯
固化 doctor 基線
運行 openclaw doctor,保存含 web/search/tools 的行,並記錄版本號便於升級對比。
跑 web 配置嚮導
執行 openclaw configure --section web;若手寫 JSON,把欄位落在 tools.web.search,API 密鑰絕不提交倉庫。
按守護進程方式掛密鑰
在 launchd plist 使用的環境或 SecretRef 中導出 TAVILY_API_KEY、BRAVE_API_KEY 等;重啟服務驗證。
允許列表對齊活動配置
確保 web_search 與需要的 web_fetch 出現在有效 allowlist 或 group:web。
從真實渠道發探針
提一個必須依賴公網的事實問題,觀察網關日誌的工具延遲與錯誤類型。
有策略地過審批
若包裝 before_tool_call,用渠道原生按鈕完成 /approve,再復跑確認緩存行為。
按序排障
401/403→密鑰或 ACL;429→退避與並發;超時→鏈路;空 JSON→放寬過濾;TLS 問題→企業代理文檔。
沉澱可復現追蹤包
導出脫敏日誌、當前 openclaw.json 中與 tools.web 相關的片段(不含密鑰)以及 allowlist 摘要。升級後能與事故基線逐項對比。
預置降級模式
提前寫好「搜索只讀/限流」話術,關閉子代理,必要時在策略允許下換更小模型。降級應是文檔化的套路,而不是事故當晚臨時拍腦袋。
可引用運維要點
提單前自檢清單
- Doctor output archived with version
- Provider block present in JSON or wizard transcript
- Effective allowlist contains web tools
- Secrets visible to the running Gateway process
- Canary query reproduced from the same channel users rely on
VNC 遠程 Mac:控制臺、權限與分裂檢查
在遠程 Mac 打開 Gateway UI,同時 SSH tail 日誌。校對時間、確認 HTTPS 未被中間人截斷;若構建依賴菜單欄伴侶,確認其狀態。系統對網絡擴展或自動化的同意必須在圖形會話點掉——純 SSH 運維容易誤判為供應商故障。
在圖形會話裡打開「鑰匙串訪問」或你們使用的憑據管理界面,核對 launchd plist 引用的密鑰真實存在且未過期。若本地 Terminal 測試與生產服務混用,建議開兩個瀏覽器窗口:一個以運維身份登錄,一個儘量貼近服務帳戶上下文,避免用錯身份「證明連通」。
相關文章
審批:插件審批與 Grok。瀏覽器:Chrome DevTools MCP。靜默:無回復排查。常駐:launchd 守護清單。
常見問題
- 界面仍提示搜索關閉? 多為 allowlist、provider 塊缺失,或密鑰未進入 Gateway 環境;修 env 後重跑 doctor。
- 搜索已通還需要 Firecrawl 嗎? 通常給
web_fetch兜底;預算與錯誤要與 search 分開看。 - 429 不想換廠商怎麼辦? 降並行子代理、指數退避、在編排層緩存近查詢,再考慮升配。
- 瀏覽器 MCP 比搜索 API 更安全嗎? 威脅模型不同:MCP 可能觸碰登錄會話;搜索走公網索引。按任務選型並寫入 SOUL/MEMORY。
- 筆記本試得好,遠程 Mac 卻結果不同? DNS、PAC 代理、系統語言/地區、IPv6 偏好都會改變 SERP。必須在 Gateway 主機上復現。
- 要把搜索結果緩存在 Agent 工作區嗎? 只有在你能接受留存策略與合規審查時再做;SERP 過時很快,建議短 TTL 並保留供應商元數據備查。
結語
純 Linux 或無頭環境容易藏掉同意與控制臺鏈路,也更容易在錯誤用戶上下文裡做「偽連通」驗證。真實 macOS 桌面經 VNC 能串起從密鑰加載到網關浮層的完整路徑,一旦審批、鑰匙串彈窗或與瀏覽器相鄰的調試進場,這種一致性就值錢。短期驗證場景下,租用 VNCMac 的 VNC Mac 並配合站內清單,通常比在錯誤主機形態上啃半截日誌更省時間——尤其當你的排障手冊假設你能看到與生產 Agent 相同的屏幕。