本文参加年度征文活动#TeamCarbon25赛道

昨天 OpenAI 发了 GPT-5.4 的模型，而且支持 OpenClaw 直接登录账号走订阅的用量。
一直因为听闻 OpenClaw 实在太烧 token 的事实，在听到这个消息之后，终于终于终于下手装 OpenClaw 了。
目前勤俭节约的我现在用的是 20 美元的 ChatGPT 订阅。至于这个用量到底够不够拿来喂小龙虾，等我再用几天补一条真实反馈，欢迎大家的三连。
 

装 OpenClaw 、Tailscale/SSH、接飞书这些事上，坑已经被互联网上的弄潮儿踩得差不多了。各种保姆级教程的经验贴和视频满天飞，虽然我这是一台十年前的老 Intel iMac，但本机部署跑起来也还算容易。
我以为故事到这里就结束了，结果在 OpenClaw 登上 ChatGPT 账号上就来回让我和 Codex 协作搞了半个小时才搞定。

默认模型为什么会莫名掉回别家？OAuth 回调为什么看起来像成功了却还是不行？代理到底该怎么挂才不会把 token 交换卡死？
 

那么，本文就重点为您揭晓这些避坑指南，每个人的龙虾同志都能吃上 GPT-5.4 的细糠。

01 安装部署 OpenClaw

正式讲避坑指南前，还是再讲一点上下文，毕竟在这个时代，得上下文者得天下。
安装部署 OpenClaw 的方式还是我的常规操作——把所有的信息一股脑给 ChatGPT 好伙伴：

• 电脑的配置
• 电脑目前大概的情况（有个 iMac是在家的开发苦力机，还有个 4090 的游戏机）

我的需求（部署安装 OpenClaw，用飞书可以远程发送指令，让本机帮我在家远程打工）
然后 GPT 老师就帮我出了方案，大概意思就是4090 部 14b 的 qwen2.5，iMac 本地部OpenClaw。

模型使用方式是本地+顶模混搭：

• 轻量回答/日常文件操作/agent 调度：
  • 4090 没有用于 3A 游戏时，开本地模型被 iMac 调用，处理轻量问答、普通 agent 任务、日常文件操作。
  • 4090 在 3A 游戏中，就关了本地模型换其它国产便宜的云端模型（小红书的姐妹们提供线索说可以注册英伟达开发者账号薅 K2.5 的羊毛，试了几次都报 403，还是老实付费吧）
• 复杂开发任务：直接吃 GPT5.4 的细糠

总结一点，就是GPT-5.4 负责决策和核心开发的那种有话语权的大头兵，14B 就是便宜的、裁了也不影响的、脏活累活都接的牛马（本牛马狠狠共情了）。
至于为什么 OpenClaw 没有部署在服务器而是部署本机，G 老师帮我拍板的。

上述方案聊完了，下来就是干活了。
依然是被 G 老师和 Codex 喂饭的一天， 直接让 G 老师整理下给 Codex的指令：

请帮我在这台 Intel iMac 上完成 OpenClaw 的本机部署准备。

目标：

这台 iMac 作为我自己的 OpenClaw 主机
后续会接我自己的飞书账号
需要支持从外部设备远程访问，但不要直接公网裸露
这台 iMac 主要是我的开发电脑，希望 OpenClaw 后续能在这台电脑上执行开发相关任务

请你先做这些事：

检查当前系统环境，确认需要哪些依赖
在当前目录生成一份部署方案说明 README.md
生成需要执行的安装脚本或命令清单，优先保守、安全、可回滚
如果有风险操作，先不要直接执行，先列出来让我确认
把配置文件、脚本、说明文档整理在当前项目目录里

约束：

不要改动当前目录之外的文件
不要直接暴露公网端口
如果需要远程访问，优先按 Tailscale / SSH tunnel 思路准备
每完成一步都说明你改了什么、下一步要做什么

而我本人，就只是建了个文件夹，cd 之后再轻声唤起 Codex 师傅，C 师，来活了！

02 Tailscale ？SSH tunnel？

很丝滑，C 师傅帮我安装部署了 OpenClaw，下一步就该看怎么让飞书机器人接手本台电脑的事情了。
因为 OpenClaw 只监听本机，要让飞书机器人这个外部设备要访问它，得有个打洞的方式。
理论上 Tailscale 是这个场景的好选择——不开公网、外部设备能访问、比每次手动开 SSH 隧道自然得多。而且之前这台 iMac 上本来就装了 Tailscale，也登录好了，看起来万事俱备。
 

但是又遇到了点麻烦事：
tailscale serve 命令打印出来是成功的，可是一查状态，还是空的。对应的地址访问不通。中间还碰到过 403、旧授权链接变 404、以及「你得先把机器改成 tagged node 才能用 Services」这类叠在一起的问题。
 

这种「看起来配好了、实际没生效」的问题是最难排的，因为你不知道该从哪里开始怀疑。是命令没执行对，还是授权没到位，还是客户端本身状态就不稳定？
结合机器上代理开过 TUN 模式，以及日志里看到的几个异常信号，算了，还是换回 SSH tunnel吧，至少先把路走通。
好在 SSH 这条路是 easy 模式，C 师傅很快搞定了，本机 Gateway 跑起来了。

03 接飞书机器人

这一步就得人机协作了，用 C 师傅提供的保姆级手册，在飞书上创建个机器人，让 C 师傅把 App ID 和 Secret 这些信息填回 OpenClaw，再一配对就好了。
飞书这块有一个新手坑浅说一下：装好之后发现机器人没有输入框，没法发消息。
好吧，是飞书应用压根没发布——一直停在草稿状态，所以机器人虽然存在，但实际上还没上线。
另外机器人能力要手动开启，事件订阅模式也要改成长连接，这些在飞书开放平台的设置里，不算藏，但不熟悉的话很容易跳过。
都补上之后，C 师傅日志里出现了几行让人安心的字：

bot open_id resolved
WebSocket client started
ws client ready

飞书这条路通了。

04 登录 ChatGPT 订阅

给飞书机器人发一条消息测试，马上报错：找不到 Anthropic 的 API 密钥。
等会儿，我要用 ChatGPT，你找 Anthropic 干什么？
原因是 OpenClaw 如果没有显式指定模型，会默认掉回 Anthropic 家的 Claude。所以登录流程开始之前，得先把默认模型切到 openai-codex。
 

浏览器登录完了，显示「连接被拒绝」

切完模型，走 OAuth 登录。浏览器弹出来，登录页正常，账号密码输完，页面最后跳到一个localhost 地址，然后给我看了一行「连接被拒绝」。
报错本身不一定是出问题——有时候只是本地回调接口没接住，或者流程已经切到了需要手动粘贴回调地址的模式。
不过真正重要的不是「有没有显示连接被拒绝」，而是看浏览器地址栏里有没有 code 参数。有 code，说明授权这一步其实成功了，把这个地址拿去继续走就行。

代理端口写错，C 师傅试了好几次才确认问题

授权没问题了，下一步被 token 交换那一步被地区限制拦了，很明显需要挂代理。
这本来不是什么大事，我就把代理里面的那些字原本复制粘贴给 C 师傅，OK，本地代理端口是 HTTP 协议的，但代理配置里给的是 SOCKS5。
检查好几次才确认到是这个配置错误的问题。
另外记得把 127.0.0.1 和 localhost 加到不走代理的名单里，不然本地回调请求也会被代理转出去再转回来，白跑一圈。
 

搞不定一键向导，就把流程拆开

官方的交互向导在这套环境里没有一把过，C 师傅把过程手动拆成了几段：生成授权链接、浏览器登录、把回调地址粘回来、用正确的代理设置完成 token 交换、把认证结果写进状态目录。
这个方法的好处是每一步都是透明的。出了问题，立刻知道卡在哪一层，不像一键向导失败了只能盯着报错发呆，然后开始怀疑是不是自己机器的问题。

04 写在最后

终于，这只龙虾醒了。

我真正想知道的是 20 刀的订阅能不能撑住这种用法。API 的成本焦虑换成了另一种形式的不确定——只是从「用多少扣多少」变成了「不知道会不会被限流」。
先用一段时间，再来更新。

最后附上 0 帧起手部署 OpenClaw 并登录上 ChatGPT账号的咒语

请帮我在当前机器上准备一套 OpenClaw 本机部署方案，并严格遵守下面的边界：

目标：
1. 当前机器作为个人 OpenClaw 主机。
2. 后续接入飞书私聊机器人。
3. 后续接入我自己的 ChatGPT 订阅作为默认回复模型。
4. 远程访问不直接暴露公网，优先走 SSH tunnel，Tailscale 作为第二阶段选项。
5. 当前机器仍是日常开发机，不能破坏现有开发环境。

工作方式：
1. 先审计当前环境，包括系统版本、架构、现有 Node/Python/git/ssh/代理情况。
2. 先输出部署计划和风险点，不要直接执行高风险操作。
3. 所有新增文件、脚本、配置、日志、状态目录优先放在当前项目目录下。
4. 不要覆盖或替换系统现有 Node、Python、shell 配置，除非我明确确认。
5. OpenClaw 默认只监听 127.0.0.1，不要直接开放 0.0.0.0。
6. 飞书优先按 WebSocket 方案设计，不要优先走公网 webhook。
7. 如果要处理 ChatGPT / OpenAI 登录问题，请拆分为：
   - 授权页拉起
   - 回调捕获
   - token 交换
   - 凭证写入
   - 默认模型切换
   分层排查，不要混在一起。
8. 代理只作用于当前命令，不修改系统全局代理。
9. 不要假设某个代理端口既支持 HTTP 又支持 SOCKS5，除非先验证。
10. 每完成一步都说明：
   - 你做了什么
   - 改了哪些文件
   - 下一步准备做什么
11. 高风险动作必须先等待我确认，包括：
   - 系统级安装
   - 修改 shell profile
   - 修改 LaunchAgent / system service
   - 打开公网监听
   - 覆盖现有开发工具链
12. 最终产物至少包括：
   - README.md：部署方案和操作说明
   - notes.md：环境审计与风险记录
   - install.sh：安装脚本
   - scripts/ 下的 smoke test、启动脚本、健康检查脚本

约束：
- 不修改当前项目目录之外的文件，除非我确认。
- 不做不可回滚操作。
- 沟通语言使用中文。