~/.openclaw/openclaw.json.
Le chemin de configuration actif doit être un fichier standard. Les agencements
openclaw.json sous forme de lien symbolique ne sont pas pris en charge pour les
écritures détenues par OpenClaw ; une écriture atomique peut remplacer le chemin
au lieu de préserver le lien symbolique. Si vous conservez la configuration en
dehors du répertoire d’état par défaut, faites pointer OPENCLAW_CONFIG_PATH
directement vers le fichier réel.
Si le fichier est absent, OpenClaw utilise des valeurs par défaut sûres. Raisons courantes d’ajouter une configuration :
- Connecter des canaux et contrôler qui peut envoyer des messages au bot
- Définir les modèles, les outils, le sandboxing ou l’automatisation (cron, hooks)
- Ajuster les sessions, les médias, le réseau ou l’interface utilisateur
config.schema.lookup pour obtenir
la documentation exacte au niveau des champs avant de modifier la configuration.
Utilisez cette page pour des conseils orientés tâches et la
référence de configuration pour la carte plus
large des champs et des valeurs par défaut.
Configuration minimale
Modifier la configuration
- Interactive wizard
- CLI (one-liners)
- Control UI
- Direct edit
Validation stricte
openclaw config schema affiche le JSON Schema canonique utilisé par la Control UI
et la validation. config.schema.lookup récupère un nœud limité à un chemin unique, ainsi que
les résumés de ses enfants pour les outils d’exploration. Les métadonnées de documentation
title/description des champs sont propagées à travers les objets imbriqués, les branches
génériques (*), les éléments de tableau ([]) et les branches anyOf/
oneOf/allOf. Les schémas de plugins et de canaux à l’exécution sont fusionnés lorsque le
registre des manifestes est chargé.
Lorsque la validation échoue :
- Le Gateway ne démarre pas
- Seules les commandes de diagnostic fonctionnent (
openclaw doctor,openclaw logs,openclaw health,openclaw status) - Exécutez
openclaw doctorpour voir les problèmes exacts - Exécutez
openclaw doctor --fix(ou--yes) pour appliquer les réparations
openclaw.json
échoue à la validation (y compris la validation locale au plugin), le démarrage du Gateway échoue ou
le rechargement est ignoré et l’exécution actuelle conserve la dernière configuration acceptée.
Exécutez openclaw doctor --fix (ou --yes) pour réparer une configuration préfixée/écrasée ou
restaurer la dernière copie valide connue. La promotion vers la dernière configuration valide connue est ignorée lorsqu’un
candidat contient des espaces réservés de secrets masqués tels que ***.
Tâches courantes
Set up a channel (WhatsApp, Telegram, Discord, etc.)
Set up a channel (WhatsApp, Telegram, Discord, etc.)
channels.<provider>. Consultez la page dédiée au canal pour les étapes de configuration :- WhatsApp -
channels.whatsapp - Telegram -
channels.telegram - Discord -
channels.discord - Feishu -
channels.feishu - Google Chat -
channels.googlechat - Microsoft Teams -
channels.msteams - Slack -
channels.slack - Signal -
channels.signal - iMessage -
channels.imessage - Mattermost -
channels.mattermost
Choose and configure models
Choose and configure models
agents.defaults.modelsdéfinit le catalogue de modèles et sert de liste d’autorisation pour/model; les entréesprovider/*filtrent/model,/modelset les sélecteurs de modèles vers les fournisseurs sélectionnés tout en continuant à utiliser la découverte dynamique des modèles.- Utilisez
openclaw config set agents.defaults.models '<json>' --strict-json --mergepour ajouter des entrées à la liste d’autorisation sans supprimer les modèles existants. Les remplacements simples qui supprimeraient des entrées sont rejetés sauf si vous passez--replace. - Les références de modèle utilisent le format
provider/model(par exempleanthropic/claude-opus-4-6). agents.defaults.imageMaxDimensionPxcontrôle la réduction d’échelle des images de transcript/outils (par défaut1200) ; des valeurs plus basses réduisent généralement l’utilisation de jetons de vision lors des exécutions comportant beaucoup de captures d’écran.- Consultez CLI des modèles pour changer de modèle dans le chat et Bascule de modèle pour la rotation d’authentification et le comportement de secours.
- Pour les fournisseurs personnalisés/auto-hébergés, consultez Fournisseurs personnalisés dans la référence.
Control who can message the bot
Control who can message the bot
dmPolicy :"pairing"(par défaut) : les expéditeurs inconnus reçoivent un code d’association à usage unique à approuver"allowlist": seuls les expéditeurs dansallowFrom(ou dans le magasin d’autorisations associées)"open": autoriser tous les messages privés entrants (nécessiteallowFrom: ["*"])"disabled": ignorer tous les messages privés
groupPolicy + groupAllowFrom ou des listes d’autorisation propres au canal.Consultez la référence complète pour les détails par canal.Set up group chat mention gating
Set up group chat mention gating
- Mentions par métadonnées : @-mentions natives (mention par appui WhatsApp, @bot Telegram, etc.)
- Motifs textuels : motifs regex sûrs dans
mentionPatterns - Réponses visibles :
messages.visibleRepliespeut exiger des envois via message-tool globalement ;messages.groupChat.visibleRepliesremplace ce réglage pour les groupes/canaux. - Consultez la référence complète pour les modes de réponse visible, les remplacements par canal et le mode self-chat.
Restrict skills per agent
Restrict skills per agent
agents.defaults.skills pour une base partagée, puis remplacez-la pour des
agents spécifiques avec agents.list[].skills :- Omettez
agents.defaults.skillspour autoriser les skills sans restriction par défaut. - Omettez
agents.list[].skillspour hériter des valeurs par défaut. - Définissez
agents.list[].skills: []pour n’autoriser aucune skill. - Consultez Skills, Configuration des Skills et la référence de configuration.
Tune gateway channel health monitoring
Tune gateway channel health monitoring
- Définissez
gateway.channelHealthCheckMinutes: 0pour désactiver globalement les redémarrages du moniteur de santé. channelStaleEventThresholdMinutesdoit être supérieur ou égal à l’intervalle de vérification.- Utilisez
channels.<provider>.healthMonitor.enabledouchannels.<provider>.accounts.<id>.healthMonitor.enabledpour désactiver les redémarrages automatiques d’un canal ou d’un compte sans désactiver le moniteur global. - Consultez Health Checks pour le débogage opérationnel et la référence complète pour tous les champs.
Tune gateway WebSocket handshake timeout
Tune gateway WebSocket handshake timeout
- La valeur par défaut est
15000millisecondes. OPENCLAW_HANDSHAKE_TIMEOUT_MSreste prioritaire pour des remplacements ponctuels de service ou de shell.- Préférez corriger d’abord les blocages de démarrage/boucle d’événements ; ce réglage est destiné aux hôtes sains mais lents pendant la mise en route.
Configure sessions and resets
Configure sessions and resets
dmScope:main(partagé) |per-peer|per-channel-peer|per-account-channel-peerthreadBindings: paramètres par défaut globaux pour le routage des sessions liées à un fil (Discord prend en charge/focus,/unfocus,/agents,/session idleet/session max-age).- Voir Gestion des sessions pour le périmètre, les liens d’identité et la politique d’envoi.
- Voir la référence complète pour tous les champs.
Activer le bac à sable
Activer le bac à sable
scripts/sandbox-setup.sh, ou depuis une installation npm, consultez la commande docker build intégrée dans Bac à sable § Images et configuration.Voir Bac à sable pour le guide complet et la référence complète pour toutes les options.Activer les notifications push adossées au relais pour les builds iOS officielles
Activer les notifications push adossées au relais pour les builds iOS officielles
https://ios-push-relay.openclaw.ai.Les déploiements de relais personnalisés nécessitent un chemin de build/déploiement iOS volontairement séparé dont l’URL de relais correspond à l’URL de relais du Gateway. Si vous utilisez une build de relais personnalisée, définissez ceci dans la configuration du Gateway :- Permet au Gateway d’envoyer
push.test, des nudges de réveil et des réveils de reconnexion via le relais externe. - Utilise une autorisation d’envoi limitée à l’inscription, transférée par l’application iOS appairée. Le Gateway n’a pas besoin d’un jeton de relais couvrant tout le déploiement.
- Lie chaque inscription adossée au relais à l’identité du Gateway avec lequel l’application iOS a été appairée, afin qu’un autre Gateway ne puisse pas réutiliser l’inscription stockée.
- Conserve les builds iOS locales/manuelles sur des APNs directs. Les envois adossés au relais s’appliquent uniquement aux builds distribuées officielles qui se sont inscrites via le relais.
- Doit correspondre à l’URL de base du relais intégrée à la build iOS, afin que le trafic d’inscription et d’envoi atteigne le même déploiement de relais.
- Installez l’application iOS officielle.
- Facultatif : configurez
gateway.push.apns.relay.baseUrlsur le Gateway uniquement si vous utilisez une build de relais personnalisée volontairement séparée. - Appairez l’application iOS au Gateway et laissez les sessions de nœud et d’opérateur se connecter.
- L’application iOS récupère l’identité du Gateway, s’inscrit auprès du relais avec App Attest et le reçu de l’application, puis publie la charge utile
push.apns.registeradossée au relais vers le Gateway appairé. - Le Gateway stocke l’identifiant de relais et l’autorisation d’envoi, puis les utilise pour
push.test, les nudges de réveil et les réveils de reconnexion.
- Si vous basculez l’application iOS vers un autre Gateway, reconnectez l’application afin qu’elle puisse publier une nouvelle inscription de relais liée à ce Gateway.
- Si vous livrez une nouvelle build iOS qui pointe vers un autre déploiement de relais, l’application actualise son inscription de relais mise en cache au lieu de réutiliser l’ancienne origine de relais.
OPENCLAW_APNS_RELAY_BASE_URLetOPENCLAW_APNS_RELAY_TIMEOUT_MSfonctionnent toujours comme remplacements temporaires via l’environnement.- Les URL de relais de Gateway personnalisées doivent correspondre à l’URL de base du relais intégrée à la build iOS. La voie de publication publique de l’App Store rejette les remplacements personnalisés d’URL de relais iOS.
OPENCLAW_APNS_RELAY_ALLOW_HTTP=truereste une échappatoire de développement limitée au local loopback ; ne persistez pas d’URL de relais HTTP dans la configuration.
Configurer Heartbeat (pointages périodiques)
Configurer Heartbeat (pointages périodiques)
every: chaîne de durée (30m,2h). Définissez0mpour désactiver.target:last|none|<channel-id>(par exemplediscord,matrix,telegramouwhatsapp)directPolicy:allow(par défaut) oublockpour les cibles Heartbeat de type MP- Voir Heartbeat pour le guide complet.
Configurer les tâches Cron
Configurer les tâches Cron
sessionRetention: supprime les sessions d’exécution isolées terminées desessions.json(par défaut24h; définissezfalsepour désactiver).runLog: supprime les lignes conservées de l’historique d’exécution Cron par tâche.maxBytesreste accepté pour les anciens journaux d’exécution adossés à des fichiers.- Voir Tâches Cron pour la vue d’ensemble de la fonctionnalité et des exemples CLI.
Configurer les Webhooks (hooks)
Configurer les Webhooks (hooks)
- Traitez tout le contenu des charges utiles de hook/Webhook comme une entrée non fiable.
- Utilisez un
hooks.tokendédié ; ne réutilisez pas les secrets d’authentification actifs du Gateway (gateway.auth.token/OPENCLAW_GATEWAY_TOKENougateway.auth.password/OPENCLAW_GATEWAY_PASSWORD). - L’authentification des hooks se fait uniquement par en-tête (
Authorization: Bearer ...oux-openclaw-token) ; les jetons dans la chaîne de requête sont rejetés. hooks.pathne peut pas être/; gardez l’entrée Webhook sur un sous-chemin dédié tel que/hooks.- Gardez les indicateurs de contournement de contenu non sûr désactivés (
hooks.gmail.allowUnsafeExternalContent,hooks.mappings[].allowUnsafeExternalContent), sauf pour un débogage strictement délimité. - Si vous activez
hooks.allowRequestSessionKey, définissez aussihooks.allowedSessionKeyPrefixespour borner les clés de session choisies par l’appelant. - Pour les agents pilotés par hook, privilégiez des niveaux de modèles modernes robustes et une politique d’outils stricte (par exemple messagerie uniquement, plus bac à sable lorsque c’est possible).
Configurer le routage multi-agent
Configurer le routage multi-agent
Diviser la configuration en plusieurs fichiers ($include)
Diviser la configuration en plusieurs fichiers ($include)
$include pour organiser les configurations volumineuses :- Fichier unique : remplace l’objet conteneur
- Tableau de fichiers : fusion profonde dans l’ordre (le dernier l’emporte)
- Clés sœurs : fusionnées après les inclusions (remplacent les valeurs incluses)
- Inclusions imbriquées : prises en charge jusqu’à 10 niveaux de profondeur
- Chemins relatifs : résolus par rapport au fichier qui inclut
- Format du chemin : les chemins d’inclusion ne doivent pas contenir d’octets nuls et doivent être strictement inférieurs à 4096 caractères avant et après résolution
- Écritures détenues par OpenClaw : lorsqu’une écriture modifie une seule section de premier niveau
adossée à une inclusion de fichier unique comme
plugins: { $include: "./plugins.json5" }, OpenClaw met à jour ce fichier inclus et laisseopenclaw.jsonintact - Écriture traversante non prise en charge : les inclusions racine, les tableaux d’inclusions et les inclusions avec remplacements par clés sœurs échouent de manière fermée pour les écritures détenues par OpenClaw au lieu d’aplatir la configuration
- Confinement : les chemins
$includedoivent se résoudre sous le répertoire contenantopenclaw.json. Pour partager une arborescence entre machines ou utilisateurs, définissezOPENCLAW_INCLUDE_ROOTSsur une liste de chemins (:sur POSIX,;sur Windows) de répertoires supplémentaires auxquels les inclusions peuvent faire référence. Les liens symboliques sont résolus et revérifiés ; ainsi, un chemin qui se trouve lexicalement dans un répertoire de configuration mais dont la cible réelle s’échappe de toutes les racines autorisées est quand même rejeté. - Gestion des erreurs : erreurs claires pour les fichiers manquants, erreurs d’analyse, inclusions circulaires, format de chemin invalide et longueur excessive
Rechargement à chaud de la configuration
Le Gateway surveille~/.openclaw/openclaw.json et applique automatiquement les changements - aucun redémarrage manuel n’est nécessaire pour la plupart des paramètres.
Les modifications directes de fichier sont considérées comme non fiables jusqu’à validation. Le watcher attend
que les écritures temporaires/renommages de l’éditeur se stabilisent, lit le fichier final et rejette
les modifications externes invalides sans réécrire openclaw.json. Les écritures de configuration
détenues par OpenClaw utilisent la même barrière de schéma avant l’écriture ; les écrasements destructifs comme
la suppression de gateway.mode ou la réduction du fichier de plus de moitié sont rejetés et
enregistrés sous .rejected.* pour inspection.
Si vous voyez config reload skipped (invalid config) ou si le démarrage signale Invalid config, inspectez la configuration, exécutez openclaw config validate, puis exécutez openclaw doctor --fix pour réparation. Voir Dépannage du Gateway
pour la liste de vérification.
Modes de rechargement
| Mode | Comportement |
|---|---|
hybrid (par défaut) | Applique instantanément à chaud les changements sûrs. Redémarre automatiquement pour les changements critiques. |
hot | Applique à chaud uniquement les changements sûrs. Journalise un avertissement lorsqu’un redémarrage est nécessaire - vous vous en chargez. |
restart | Redémarre le Gateway à chaque changement de configuration, sûr ou non. |
off | Désactive la surveillance des fichiers. Les changements prennent effet au prochain redémarrage manuel. |
Ce qui s’applique à chaud et ce qui nécessite un redémarrage
La plupart des champs s’appliquent à chaud sans interruption. En modehybrid, les changements nécessitant un redémarrage sont gérés automatiquement.
| Catégorie | Champs | Redémarrage nécessaire ? |
|---|---|---|
| Canaux | channels.*, web (WhatsApp) - tous les canaux intégrés et Plugin | Non |
| Agent et modèles | agent, agents, models, routing | Non |
| Automatisation | hooks, cron, agent.heartbeat | Non |
| Sessions et messages | session, messages | Non |
| Outils et médias | tools, browser, skills, mcp, audio, talk | Non |
| UI et divers | ui, logging, identity, bindings | Non |
| Serveur Gateway | gateway.* (port, bind, auth, tailscale, TLS, HTTP) | Oui |
| Infrastructure | discovery, plugins | Oui |
gateway.reload et gateway.remote sont des exceptions - les modifier ne déclenche pas de redémarrage.Planification du rechargement
Lorsque vous modifiez un fichier source référencé via$include, OpenClaw planifie
le rechargement à partir de la disposition définie dans la source, et non de la vue
aplatie en mémoire. Cela rend les décisions de rechargement à chaud (application
à chaud ou redémarrage) prévisibles, même lorsqu’une seule section de premier
niveau se trouve dans son propre fichier inclus, comme
plugins: { $include: "./plugins.json5" }. La planification du rechargement échoue
de manière fermée si la disposition source est ambiguë.
RPC de configuration (mises à jour programmatiques)
Pour les outils qui écrivent la configuration via l’API Gateway, privilégiez ce flux :config.schema.lookuppour inspecter un sous-arbre (nœud de schéma superficiel + résumés des enfants)config.getpour récupérer l’instantané actuel avechashconfig.patchpour les mises à jour partielles (JSON merge patch : les objets fusionnent,nullsupprime, les tableaux remplacent lorsqu’ils sont explicitement confirmés avecreplacePathssi des entrées devaient être supprimées)config.applyuniquement lorsque vous avez l’intention de remplacer toute la configurationupdate.runpour une auto-mise à jour explicite avec redémarrage ; incluezcontinuationMessagelorsque la session post-redémarrage doit exécuter un tour de suiviupdate.statuspour inspecter la dernière sentinelle de redémarrage de mise à jour et vérifier la version en cours d’exécution après un redémarrage
config.schema.lookup comme le premier point d’arrêt pour la documentation
et les contraintes exactes au niveau des champs. Utilisez Référence de configuration
lorsqu’ils ont besoin de la carte de configuration plus large, des valeurs par défaut ou de liens vers les
références dédiées des sous-systèmes.
config.apply, config.patch, update.run) sont
limitées à 3 requêtes par 60 secondes par deviceId+clientIp. Les requêtes de redémarrage
sont coalescées, puis imposent un délai de récupération de 30 secondes entre les cycles de redémarrage.
update.status est en lecture seule, mais limité aux administrateurs, car la sentinelle de redémarrage peut
inclure des résumés d’étapes de mise à jour et des fins de sortie de commande.config.apply et config.patch acceptent tous deux raw, baseHash, sessionKey,
note et restartDelayMs. baseHash est requis pour les deux méthodes lorsqu’une
configuration existe déjà.
config.patch accepte également replacePaths, un tableau de chemins de configuration dont le remplacement
de tableau est intentionnel. Si un correctif remplace ou supprime un tableau existant
avec moins d’entrées, le Gateway rejette l’écriture sauf si ce chemin exact apparaît
dans replacePaths ; les tableaux imbriqués sous les entrées de tableau utilisent [], comme
agents.list[].skills. Cela empêche les instantanés config.get tronqués
d’écraser silencieusement les tableaux de routage ou de liste d’autorisation. Utilisez config.apply lorsque vous
avez l’intention de remplacer toute la configuration.
Variables d’environnement
OpenClaw lit les variables d’environnement depuis le processus parent ainsi que :.envdepuis le répertoire de travail actuel (si présent)~/.openclaw/.env(solution de repli globale)
Shell env import (optional)
Shell env import (optional)
OPENCLAW_LOAD_SHELL_ENV=1Env var substitution in config values
Env var substitution in config values
${VAR_NAME} :- Seuls les noms en majuscules correspondent :
[A-Z_][A-Z0-9_]* - Les variables manquantes ou vides déclenchent une erreur au chargement
- Échappez avec
$${VAR}pour une sortie littérale - Fonctionne dans les fichiers
$include - Substitution en ligne :
"${BASE}/v1"→"https://api.example.com/v1"
Secret refs (env, file, exec)
Secret refs (env, file, exec)
secrets.providers pour env/file/exec) se trouvent dans Gestion des secrets.
Les chemins d’identifiants pris en charge sont listés dans Surface d’identifiants SecretRef.Référence complète
Pour la référence complète champ par champ, consultez Référence de configuration.Associé : Exemples de configuration · Référence de configuration · Doctor