> ## Documentation Index
> Fetch the complete documentation index at: https://docs2.openclaw.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Crestodian

# `openclaw crestodian`

Crestodian é o auxiliar local de configuração, reparo e setup do OpenClaw. Ele foi
projetado para permanecer acessível quando o caminho normal do agente estiver quebrado.

Executar `openclaw` sem comando inicia primeiro o onboarding clássico quando o
arquivo de configuração ativo está ausente ou não tem configurações autoradas (vazio ou
somente metadados). Depois que um arquivo de configuração tem configurações autoradas, executar `openclaw`
sem comando inicia o Crestodian em um terminal interativo. Executar
`openclaw crestodian` inicia o mesmo auxiliar explicitamente.

## O que o Crestodian mostra

Na inicialização, o Crestodian interativo abre o mesmo shell TUI usado por
`openclaw tui`, com um backend de chat do Crestodian. O log de chat começa com uma saudação curta:

* quando iniciar o Crestodian
* o modelo ou caminho de planejador determinístico que o Crestodian está realmente usando
* validade da configuração e o agente padrão
* alcançabilidade do Gateway a partir da primeira sondagem de inicialização
* a próxima ação de depuração que o Crestodian pode executar

Ele não despeja segredos nem carrega comandos de CLI de plugin apenas para iniciar. A TUI
ainda fornece o cabeçalho normal, log de chat, linha de status, rodapé, preenchimento automático
e controles do editor.

Use `status` para o inventário detalhado com caminho de configuração, caminhos de docs/fonte,
sondagens da CLI local, presença de chave de API, agentes, modelo e detalhes do Gateway.

O Crestodian usa a mesma descoberta de referência do OpenClaw que os agentes regulares. Em um checkout Git,
ele aponta para `docs/` local e para a árvore de origem local. Em uma instalação de pacote npm, ele
usa a documentação empacotada do pacote e links para
[https://github.com/openclaw/openclaw](https://github.com/openclaw/openclaw), com orientação explícita
para revisar o código-fonte sempre que a documentação não for suficiente.

## Exemplos

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
openclaw
openclaw crestodian
openclaw crestodian --json
openclaw crestodian --message "models"
openclaw crestodian --message "validate config"
openclaw crestodian --message "setup workspace ~/Projects/work model openai/gpt-5.5" --yes
openclaw crestodian --message "set default model openai/gpt-5.5" --yes
openclaw onboard --modern
```

Dentro da TUI do Crestodian:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
status
health
doctor
doctor fix
validate config
setup
setup workspace ~/Projects/work model openai/gpt-5.5
config set gateway.port 19001
config set-ref gateway.auth.token env OPENCLAW_GATEWAY_TOKEN
gateway status
restart gateway
agents
create agent work workspace ~/Projects/work
models
set default model openai/gpt-5.5
plugins list
plugins search slack
plugin install clawhub:openclaw-codex-app-server
plugin uninstall openclaw-codex-app-server
talk to work agent
talk to agent for ~/Projects/work
audit
quit
```

## Inicialização segura

O caminho de inicialização do Crestodian é deliberadamente pequeno. Ele pode ser executado quando:

* `openclaw.json` está ausente
* `openclaw.json` é inválido
* o Gateway está indisponível
* o registro de comandos de plugin está indisponível
* nenhum agente foi configurado ainda

`openclaw --help` e `openclaw --version` ainda usam os caminhos rápidos normais.
`openclaw` puro não interativo sai com uma mensagem curta em vez de imprimir
a ajuda raiz. Em uma instalação nova, a mensagem aponta para onboarding não interativo;
após o setup, ela aponta para comandos pontuais do Crestodian.

## Operações e aprovação

O Crestodian usa operações tipadas em vez de editar a configuração de modo ad hoc.

Operações somente leitura podem ser executadas imediatamente:

* mostrar visão geral
* listar agentes
* listar plugins instalados
* pesquisar plugins do ClawHub
* mostrar status de modelo/backend
* executar verificações de status ou integridade
* verificar alcançabilidade do Gateway
* executar doctor sem correções interativas
* validar configuração
* mostrar o caminho do log de auditoria

Operações persistentes exigem aprovação conversacional em modo interativo, a menos que
você passe `--yes` para um comando direto:

* gravar configuração
* executar `config set`
* definir valores SecretRef compatíveis por meio de `config set-ref`
* executar bootstrap de setup/onboarding
* alterar o modelo padrão
* iniciar, parar ou reiniciar o Gateway
* criar agentes
* instalar plugins do ClawHub ou npm
* desinstalar plugins
* executar reparos do doctor que reescrevem configuração ou estado

Gravações aplicadas são registradas em:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
~/.openclaw/audit/crestodian.jsonl
```

A descoberta não é auditada. Somente operações aplicadas e gravações são registradas.

`openclaw onboard --modern` inicia o Crestodian como a prévia de onboarding moderno.
`openclaw onboard` simples ainda executa o onboarding clássico.

## Bootstrap de setup

`setup` é o bootstrap de onboarding centrado no chat. Ele grava apenas por meio de operações
de configuração tipadas e pede aprovação primeiro.

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
setup
setup workspace ~/Projects/work
setup workspace ~/Projects/work model openai/gpt-5.5
```

Quando nenhum modelo está configurado, o setup seleciona o primeiro backend utilizável nesta
ordem e informa o que escolheu:

* modelo explícito existente, se já configurado
* `OPENAI_API_KEY` -> `openai/gpt-5.5`
* `ANTHROPIC_API_KEY` -> `anthropic/claude-opus-4-8`
* Claude Code CLI -> `claude-cli/claude-opus-4-8`
* Codex -> `openai/gpt-5.5` por meio do harness app-server do Codex

Se nenhum estiver disponível, o setup ainda grava o workspace padrão e deixa o
modelo indefinido. Instale ou faça login no Codex/Claude Code, ou exponha
`OPENAI_API_KEY`/`ANTHROPIC_API_KEY`, depois execute o setup novamente.

## Planejador assistido por modelo

O Crestodian sempre inicia em modo determinístico. Para comandos difusos que o
analisador determinístico não entende, o Crestodian local pode fazer uma rodada limitada
do planejador por meio dos caminhos normais de runtime do OpenClaw. Primeiro, ele usa o
modelo configurado do OpenClaw. Se nenhum modelo configurado ainda for utilizável, ele pode
recorrer a runtimes locais já presentes na máquina:

* Claude Code CLI: `claude-cli/claude-opus-4-8`
* harness app-server do Codex: `openai/gpt-5.5`

O planejador assistido por modelo não pode modificar a configuração diretamente. Ele deve traduzir a
solicitação em um dos comandos tipados do Crestodian; então as regras normais de aprovação e
auditoria se aplicam. O Crestodian imprime o modelo usado e o comando
interpretado antes de executar qualquer coisa. Rodadas do planejador de fallback sem configuração são
temporárias, com ferramentas desabilitadas quando o runtime oferece suporte, e usam um
workspace/sessão temporário.

O modo de resgate por canal de mensagens não usa o planejador assistido por modelo. O resgate
remoto permanece determinístico para que um caminho normal de agente quebrado ou comprometido não
possa ser usado como editor de configuração.

## Alternando para um agente

Use um seletor em linguagem natural para sair do Crestodian e abrir a TUI normal:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
talk to agent
talk to work agent
switch to main agent
```

`openclaw tui`, `openclaw chat` e `openclaw terminal` ainda abrem a TUI normal
do agente diretamente. Eles não iniciam o Crestodian.

Depois de alternar para a TUI normal, use `/crestodian` para retornar ao Crestodian.
Você pode incluir uma solicitação de acompanhamento:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
/crestodian
/crestodian restart gateway
```

Alternâncias de agente dentro da TUI deixam um breadcrumb indicando que `/crestodian` está disponível.

## Modo de resgate por mensagem

O modo de resgate por mensagem é o ponto de entrada de canal de mensagens para o Crestodian. Ele é para
o caso em que seu agente normal está morto, mas um canal confiável como WhatsApp
ainda recebe comandos.

Comando de texto compatível:

* `/crestodian <request>`

Fluxo do operador:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
You, in a trusted owner DM: /crestodian status
OpenClaw: Crestodian rescue mode. Gateway reachable: no. Config valid: no.
You: /crestodian restart gateway
OpenClaw: Plan: restart the Gateway. Reply /crestodian yes to apply.
You: /crestodian yes
OpenClaw: Applied. Audit entry written.
```

A criação de agente também pode ser enfileirada a partir do prompt local ou do modo de resgate:

```text theme={"theme":{"light":"min-light","dark":"min-dark"}}
create agent work workspace ~/Projects/work model openai/gpt-5.5
/crestodian create agent work workspace ~/Projects/work
```

O modo de resgate remoto é uma superfície administrativa. Ele deve ser tratado como reparo
remoto de configuração, não como chat normal.

Contrato de segurança para resgate remoto:

* Desabilitado quando o sandboxing está ativo. Se um agente/sessão estiver em sandbox,
  o Crestodian deve recusar o resgate remoto e explicar que o reparo pela CLI local é
  obrigatório.
* O estado efetivo padrão é `auto`: permitir resgate remoto apenas em operação YOLO
  confiável, em que o runtime já tem autoridade local sem sandbox.
* Exige uma identidade explícita de proprietário. O resgate não deve aceitar regras de remetente
  curinga, política de grupo aberto, webhooks não autenticados ou canais anônimos.
* Somente DMs do proprietário por padrão. Resgate em grupo/canal exige opt-in explícito.
* Pesquisa e listagem de plugins são somente leitura. Instalação de plugin é somente local por padrão
  porque baixa código executável. Desinstalação de plugin pode ser permitida como uma
  operação de reparo aprovada quando a política de resgate permitir gravações persistentes.
* O resgate remoto não pode abrir a TUI local nem alternar para uma sessão interativa de agente.
  Use `openclaw` local para handoff de agente.
* Gravações persistentes ainda exigem aprovação, mesmo no modo de resgate.
* Audite toda operação de resgate aplicada. O resgate por canal de mensagens registra canal,
  conta, remetente e metadados de endereço de origem. Operações que modificam configuração também
  registram hashes da configuração antes e depois.
* Nunca ecoe segredos. A inspeção de SecretRef deve informar disponibilidade, não
  valores.
* Se o Gateway estiver ativo, prefira operações tipadas do Gateway. Se o Gateway estiver
  morto, use somente a superfície mínima de reparo local que não dependa do
  loop normal do agente.

Formato da configuração:

```jsonc theme={"theme":{"light":"min-light","dark":"min-dark"}}
{
  "crestodian": {
    "rescue": {
      "enabled": "auto",
      "ownerDmOnly": true,
    },
  },
}
```

`enabled` deve aceitar:

* `"auto"`: padrão. Permitir somente quando o runtime efetivo for YOLO e
  o sandboxing estiver desligado.
* `false`: nunca permitir resgate por canal de mensagens.
* `true`: permitir explicitamente o resgate quando as verificações de proprietário/canal passarem. Isso
  ainda não deve contornar a negação por sandboxing.

A postura YOLO `"auto"` padrão é:

* o modo sandbox resolve para `off`
* `tools.exec.security` resolve para `full`
* `tools.exec.ask` resolve para `off`

O resgate remoto é coberto pela lane Docker:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
pnpm test:docker:crestodian-rescue
```

O fallback do planejador local sem configuração é coberto por:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
pnpm test:docker:crestodian-planner
```

Um smoke opt-in da superfície de comando de canal ao vivo verifica `/crestodian status` mais uma
rodada persistente de aprovação pelo handler de resgate:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
pnpm test:live:crestodian-rescue-channel
```

O setup sem configuração por meio de comandos explícitos do Crestodian é coberto por:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
pnpm test:docker:crestodian-first-run
```

Essa lane começa com um diretório de estado vazio, verifica o ponto de entrada moderno de onboard do Crestodian,
define o modelo padrão, cria um agente adicional, configura
Discord por meio de uma habilitação de plugin mais SecretRef de token, valida a configuração e
verifica o log de auditoria. O QA Lab também tem um cenário respaldado pelo repo para o mesmo fluxo Ring 0:

```bash theme={"theme":{"light":"min-light","dark":"min-dark"}}
pnpm openclaw qa suite --scenario crestodian-ring-zero-setup
```

## Relacionados

* [Referência da CLI](/pt-BR/cli)
* [Doctor](/pt-BR/cli/doctor)
* [TUI](/pt-BR/cli/tui)
* [Sandbox](/pt-BR/cli/sandbox)
* [Segurança](/pt-BR/cli/security)
