前言

如果你关注开源 AI 圈子，2026 年你一定听过「养龙虾」这个词。OpenClaw（小龙虾）凭借 31 万+ GitHub Star 成了今年最火的开源 AI Agent 框架。但网上大多数教程都止步于「如何安装」，装完之后怎么和鹅厂生态打通、怎么把效率工具链跑起来，几乎没人写。

我有一台腾讯云 Lighthouse 轻量应用服务器，2G 内存、50G 磁盘。就是在这台「Lighthouse 轻量应用服务器」上，我搭了一套完整的 AI 工作流：OpenClaw 作为中枢，同时接入了 QClaw Bot（腾讯 IM AI 助手）、LKEAP（腾讯云模型 API）、QQ Bot、微信、钉钉等通道，支撑着 20+ 个站点和 10+ 个后端服务。

这篇文章我从鹅厂生态接入开始，完整拆解效率工作流的搭建过程、踩过的坑、以及可以直接抄作业的配置模板。

---

一、环境总览：一台 Lighthouse 上跑什么

1.1 硬件配置

CPU:   2 Core (Intel)
MEM:   1.9Gi 总量
DISK:  50G SSD (已用 39G, 83%)
SWAP:  9.9Gi (扩展交换分区)
OS:    Ubuntu 24.04

选这个配置的理由很简单——2G 内存跑 Node.js Gateway + MySQL + Nginx 刚好够，50G SSD 放日志、配置和浏览器缓存也没问题。两个月下来的真实数据：

Gateway 进程:     ~777MB  (Node.js v22.22.1)
Chromium 实例:    ~150MB  (Playwright, 7 个子进程)
MySQL:            ~50MB
Nginx + PHP-FPM:  ~30MB
可用内存:         469Mi

1.2 鹅厂产品矩阵

┌──────────────────────────────────────────────────────┐
│                    腾讯云 Lighthouse                   │
│                    (2C2G, Ubuntu 24.04)                │
├──────────────────────────────────────────────────────┤
│  🐧 QClaw Bot        QQ 频道机器人   LKEAP API       │
│  (腾讯 IM AI 助手)    (QQ 开放平台)   (模型推理)      │
├──────────────────────────────────────────────────────┤
│  CSDN IM             微信            钉钉/飞书       │
└──────────────────────────────────────────────────────┘
                           │
                    OpenClaw Gateway
                    (端口 20071, Token 认证)
                           │
            ┌──────────────┼──────────────┐
            ▼              ▼              ▼
      DeepSeek V4      豆包 Doubao     LKEAP
      (主力模型)        (国产备选)     (内网超低延迟)

---

二、🐧 鹅厂 AI Agent 生态接入实战

2.1 QClaw Bot：腾讯 IM 的原生 AI 入口

QClaw Bot 是腾讯出品的 IM 即时通信 AI 助手插件。与常见的「对话机器人」不同，它的几个特性让我眼前一亮：

一键安装，零配置上手

bash <(curl -fsSL https://cdn.qclaw.qq.com/qclaw_miniapp/qclaw/install.sh) 
  --bot-token "appId:appSecret"

一条命令完成安装+配置+注册。对比其他通道的接入流程（钉钉需要开放平台创建应用→配置回调→验证 Token，微信需要公众号后台多步操作），QClaw 的体验确实是鹅厂级别的「开箱即用」。

核心能力一览

能力	说明	体验评价
私聊流式回复	WebSocket 长连接，打字机效果	⭐⭐⭐⭐⭐
消息自动合并	短时间多条消息自动合并再发给 AI	省 token
媒体消息	图片/语音/视频/文件收发	支持完整
定时提醒	自然语言创建（5m/1h30m/2d/cron）	比设闹钟快
技能管理	安装/查看/删除 AI 技能	可扩展

实际使用感受

用了近一个月，QClaw Bot 是我使用频率最高的入口。几个典型场景：

• 随手备忘：「20 分钟后提醒我部署」，比打开手机设置闹钟快得多
• 快速查询：「查一下这个 API 的用法」，不用切浏览器
• 定时任务：「每天 18:00 发邮件汇报系统状态」，设置后自动执行

不足的地方：群聊功能还在完善中，目前的 IM 场景以私聊为主；偶尔长连接断线需要手动重连。

2.2 LKEAP：腾讯云模型 API 的超低延迟体验

腾讯云的 LKEAP（LLM Knowledge Engine API Platform）提供了 DeepSeek 系列模型，走腾讯云内网：

{
  "qcloudlkeap": {
    "baseUrl": "https://api.lkeap.cloud.tencent.com/v1",
    "api": "openai-completions",
    "models": [
      { "id": "deepseek-v3.2", "name": "DeepSeek V3.2" },
      { "id": "deepseek-r1-0528", "name": "DeepSeek R1 0528" }
    ]
  }
}

实测延迟对比：

LKEAP (腾讯云内网):  < 5ms
DeepSeek 官方 API:   30~50ms  (公网)
豆包 (火山引擎):     15~25ms  (国内公网)

如果 Lighthouse 和 LKEAP 在同一区域，延迟几乎可以忽略不计。对于需要频繁调用模型的场景（如 Agent 连续工具调用），这个差异的体感非常明显。

与 QClaw Bot 的联动：QClaw 通道的消息通过 OpenClaw Gateway 路由到 LKEAP 模型，整条链路都在腾讯云体系内，延迟极低。

2.3 QQ Bot：频道机器人的沙箱调试

QQ 频道机器人配置涉及沙箱环境和正式环境的切换：

开发阶段: 沙箱模式 → 只有你能看到机器人消息
上线阶段: 正式环境 → 频道所有成员可见

调试建议：先用沙箱跑通消息收发→AI 回复→媒体文件→定时任务全流程，全部 OK 后再切正式。

2.4 三引擎模型并行

我配了三个模型源互为兜底：

// 1. DeepSeek 官方 — 主力
{ "id": "deepseek-v4-pro",   "用途": "复杂推理、代码生成" },
{ "id": "deepseek-v4-flash",  "用途": "日常对话、定时任务" },
// 2. 豆包 Doubao — 国产备选
{ "id": "doubao-seed-2-0-pro","用途": "代码审查" },
{ "id": "doubao-seed-code-preview", "用途": "编程辅助" },
// 3. LKEAP — 最低延迟
{ "id": "deepseek-v3.2",      "用途": "高频调用场景" },
{ "id": "deepseek-r1-0528",   "用途": "深度推理兜底" }

模型调度策略：

Agent              默认模型            场景
─────────────────────────────────────────────
主 Agent            deepseek-v4-pro     质量优先
QClaw / QQ Bot      deepseek-v4-flash   速度优先
cron 定时任务         deepseek-v4-flash   成本优先
高频工具调用          LKEAP              延迟优先

各渠道的缓存命中率也验证了这策略是对的：

QClaw Bot:        33k context · cache 99%   ← 重复对话极多
主 Agent:         95k context · cache 47%
QQ Bot:           48k context · cache 51%
定时任务(复杂):    最高 1000k tokens

cache 命中率越高 → token 消耗越低 → 成本越低。QClaw 的 99% 命中率，说明日常问答的高重复度非常适合用 flash 模型。

---

三、生产环境项目矩阵

在效率工具之外，这台 Lighthouse 上还跑着完整的项目矩阵。

3.1 架构总览

internet
                            │
                     ┌──────┴──────┐
                     │   Nginx     │ :80/:443
                     │ 反向代理+SSL │
                     └──────┬──────┘
            ┌───────────────┼───────────────┐
            ▼               ▼               ▼
     ┌──────────┐    ┌──────────┐    ┌──────────┐
     │ 静态站点 │    │ 反代服务 │    │ 子路径   │
     │ (direct) │    │ (proxy)  │    │ (subdir) │
     └──────────┘    └────┬─────┘    └──────────┘
                          │
               ┌──────────┴──────────┐
               │  后端服务 127.0.0.1  │
               ├─────────────────────┤
               │ OAuth2 认证中心      │ Spring Boot 3.2
               │ CMS 管理            │ Spring Boot
               │ WebHook 中心        │ Node.js + Express
               │ 壁纸 API            │ Spring Boot
               │ 即时通信            │ Node.js
               └─────────────────────┘

3.2 站点/服务清单

类别	数量	说明
域名站点	15+	博客(25篇) / 音乐站 / 壁纸站(近千张) / 安全告警中心
Nginx 配置	28 个	每个站点独立 server 块，通配符 SSL
子路径项目	5+	即时通信 / 订阅管理 / 党团费系统
后端服务	10+	Java/Node.js/PHP，统一 bind 127.0.0.1
数据库	5	MySQL (按业务分库) + H2 (轻量服务)

3.3 代表性项目

OAuth2 认证中心（Spring Boot 3.2 + Spring Security）：35 个 Java 源文件，PKCE S256 授权码 + 邮箱验证码 + MFA，为所有子服务提供统一登录底座。PicAPI 壁纸系统：经历 Nginx 直出 → Spring Boot → 混动架构 → 纯自托管四轮迭代。结论：生产环境最少依赖最稳。WordPress 技术博客：25 篇技术文章，经历本地→CloudBase 容器→回迁本地三次迁移。跨区域 MySQL 公网延迟 3171ms 的教训太深刻。MuseWave 音乐站：Vue 3 + 网易云 API 代理，搜索/收藏/播放/下载。

---

四、安装部署：两种方式实测对比

方式一：一键脚本

curl -fsSL https://get.openclaw.ai | sh

优点：自动处理依赖 + systemd 服务。缺点：路径不可控，排查困难。

方式二：pnpm 全局安装（推荐）

npm install -g pnpm
pnpm add -g openclaw
$ openclaw --version
OpenClaw 2026.6.1 (2e08f0f)

版本管理方便，升级回滚简单。注意装完后需手动配 Gateway 自启动。

---

五、⚙️ 效率工作流全景

5.1 工作流总览

触发源                    Gateway 路由               LLM 处理          执行/回复
─────────────────────────────────────────────────────────────────────────────
QClaw 私聊 "提醒我..."  ──→ qclaw channel         ──→ flash 模型    ──→ cron 定时提醒
QClaw 私聊 "帮我写..."  ──→ qclaw channel         ──→ pro 模型      ──→ 流式回复
QClaw 私聊 "查API用法" ──→ qclaw channel         ──→ LKEAP         ──→ web_search → 回复
QQ 频道消息             ──→ qqbot channel         ──→ flash 模型    ──→ 回复
系统告警 WebHook        ──→ /webhook endpoint     ──→ Node.js 解析  ──→ 存储+通知
cron 18:00 邮件汇报     ──→ cron agent            ──→ flash 模型    ──→ SMTP 发送
安全审计检查            ──→ cron agent            ──→ pro 模型      ──→ 端口扫描+修复

5.2 定时任务：让 Agent 自动干活

OpenClaw 的 cron 系统支持三种调度方式：

方式一：相对时间   "5m" / "1h30m" / "2d"      → 一次性提醒
方式二：cron 表达式 "0 18 * * *"               → 每天 18:00
方式三：cron 表达式 "0 3 * * 0"                → 每周日凌晨 3:00

我现在跑着 6 个定时任务：

任务	调度	用途
邮件汇报	每天 18:00	系统状态邮件推送
日志清理	每周日 3:00	删除 7 天前的 .log
Gateway 重启	每周日 3:10	Node.js 内存碎片回收
安全巡检	每周一 9:00	端口扫描 + CORS 检查
WebHook 清理	每天 2:00	清理过期消息
缓存刷新	每天 6:00	清理浏览器缓存

通过 QClaw Bot 设置定时任务示例：

我: 每天下午 6 点发邮件汇报系统状态
QClaw: ✅ 已创建定时任务：每天 18:00 发送邮件汇报
我: 查看我的定时任务
QClaw:
  📋 当前定时任务：
每天 18:00 — 发送邮件汇报
每周日 3:00 — 清理日志
  ...

对比传统方式（写 crontab → 编辑脚本 → 调试 → 忘了在干啥），这种自然语言交互的效率提升是数量级的。

5.3 安全审计工作流：上线即审计

两次安全审计建立了三条铁律，由 cron Agent 自动执行：

上线即审计 checklist:
  □ 后端端口是否 bind 127.0.0.1？
  □ CORS 白名单是否仅放行自有域名？
  □ API 接口是否配置 Token 认证？
  □ CSP 安全头是否配置 default-src 'self'？
  □ MySQL 是否仅 localhost 可连？
  □ 上传接口是否有大小限制？

修复前后：

修复前: 22 个端口公网暴露
修复后: 4 个端口 (22/80/443/20071)
攻击面: ↓ 95%

5.4 一键检查命令

# 快速健康检查
openclaw status
openclaw doctor
free -h && df -h /
安全检查
ss -tlnp | grep LISTEN                # 端口审计
iptables -L INPUT -n --line-numbers    # 防火墙规则
mysql -e "SELECT user,host FROM mysql.user WHERE host!='localhost'" # MySQL 审计

把这几个命令组合成一个 cron 任务，每周自动跑一次，结果发到 QClaw 上：

#!/bin/bash
周检脚本 /root/security-check.sh
OUTPUT="/tmp/weekly-check.txt"
$OUTPUT
echo "=== 端口暴露检查 ===" >> $OUTPUT
ss -tlnp | grep -c "0.0.0.0" >> $OUTPUT
echo "=== 磁盘使用 ===" >> $OUTPUT
df -h / | tail -1 >> $OUTPUT
echo "=== 内存 ===" >> $OUTPUT
free -h | grep Mem >> $OUTPUT

---

六、生产级调优

6.1 Systemd 自启（关键！）

systemctl --user enable openclaw-gateway
systemctl --user start openclaw-gateway
⚠️ 必须执行！否则重启后不自动拉起
sudo loginctl enable-linger $(whoami)

没配 enable-linger 是新手最容易掉的坑。

6.2 Node.js 编译缓存

export NODE_COMPILE_CACHE=/var/tmp/openclaw-compile-cache
mkdir -p $NODE_COMPILE_CACHE

CLI 冷启动时间从 ~3s 降到 ~1s。

6.3 内存优化

# 1. 关闭不用的插件—少一个少一份内存
在 openclaw.json 中 disable 没用的 channel
2. 限制 Chromium 并发
3. 定期归档旧会话

6.4 磁盘日志轮转

主要占用:
  ~/.openclaw/logs/            ← 日志 (cron 每周清理)
  ~/.openclaw/browser-*/       ← 浏览器缓存 (定期清理)
  /root/.cache/ms-playwright/  ← Chromium 二进制 (~300MB)

---

七、安全加固：攻击面缩减 95%

7.1 第一次审计

🔴 SSH 允许 root + 密码登录
🔴 未安装 fail2ban
🔴 10+ 后端端口公网直通

7.2 第二次审计（更深入）

发现                              修复
──────────────────────────────────────────────
MySQL bind 0.0.0.0 + root 空密码  → bind 127.0.0.1 + 强密码
WordPress 用户 wp_*@% 任意IP可连  → localhost 限制
5 个 Java 服务端口暴露            → 统一 bind 127.0.0.1
无 iptables 防火墙                → 白名单模式

# iptables 白名单
iptables -A INPUT -p tcp --dport 22    -j ACCEPT
iptables -A INPUT -p tcp --dport 80    -j ACCEPT
iptables -A INPUT -p tcp --dport 443   -j ACCEPT
iptables -A INPUT -p tcp --dport 20071 -j ACCEPT
iptables -A INPUT -j DROP
iptables-save > /etc/iptables/rules.v4

---

八、踩坑实录

坑 1：Nginx location 优先级

通配符 server_name 优先级 > 独立域名？前端请求被当成 API 发到后端。

Nginx location 匹配优先级（从上到下）:
= 精确  >  ^~ 前缀(禁止正则)  >  ~ 正则  >  普通前缀

# ❌ 被正则 ~ .php$ 抢先匹配
location /sub-path/ { ... }
✅ 用 ^~ 禁止正则覆盖
location ^~ /sub-path/ { ... }

坑 2：WordPress 跨区域

硅谷 → 上海 MySQL 公网延迟: 3171ms
回迁本地 localhost:        <1ms

坑 3：Vue 异步竞态

TDesign Vue 组件库在低配服务器 app._instance null。最终收敛为 Vue 3 Options API + TDesign CSS 变量。

坑 4：JSON 解析器被非标准数据击穿

// 兜底：raw body + try JSON.parse
app.use(express.json({ verify: (req, res, buf) => {
  try { JSON.parse(buf.toString()) } catch {
    req.body = { _raw: buf.toString() };
  }
}}));

坑 5：SMTP 被封

短时间内多次测试邮件 → 139 邮箱 SMTP 封禁。换腾讯企业邮（smtp.qcloudmail.com:465）后稳定。

坑 6：插件 TS 未编译

openclaw doctor --fix  # 自动清理过期配置

坑 7：飞书多账号

channels.lightclawbot: accounts.default is missing

需在 accounts 中指定默认值。

坑 8：内存碎片

0 3 * * 0 openclaw gateway restart

---

九、运行数据总览

┌─────────────────┬────────────────────────┐
│ 指标              │ 数据                    │
├─────────────────┼────────────────────────┤
│ 活跃 Agent       │ 2 个                    │
│ 活跃会话         │ 13 个                   │
│ 定时任务         │ 6 个                    │
│ 消息通道         │ 8 个                    │
│ 在线站点         │ 20+ 个                  │
│ 后端服务         │ 10+ 个                  │
│ Cache 命中率     │ 47%~99%（QClaw 最高）    │
│ 端口（修复前/后） │ 22 → 4 (-82%)          │
└─────────────────┴────────────────────────┘

---

十、可复制的部署模板

Step 1：安装 OpenClaw + 配模型

pnpm add -g openclaw
openclaw  # 进入向导 → 配 DeepSeek + LKEAP

Step 2：接入鹅厂通道

# QClaw Bot（推荐首选）
bash <(curl -fsSL https://cdn.qclaw.qq.com/qclaw_miniapp/qclaw/install.sh)
QQ Bot — 先在 QQ 开放平台创建机器人
微信 — 微信公众平台配置 Token

Step 3：配 Nginx 反代

server {
    listen 80;
    server_name openclaw.example.com;
    location / {
        proxy_pass http://127.0.0.1:20071;
        proxy_set_header Host $host;
    }
}

Step 4：安全加固 + 自启

# 自启
systemctl --user enable openclaw-gateway
sudo loginctl enable-linger $(whoami)
iptables 白名单
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j DROP

Step 5：配置定时任务

通过 QClaw Bot 自然语言创建，或者直接写 cron 表达式：

每天 18:00 — 系统状态邮件汇报
每周一 9:00 — 安全巡检
每周日 3:00 — 日志清理 + Gateway 重启

---

总结

这套工作流跑了两个月，核心感受：

• QClaw Bot + LKEAP 是鹅厂生态的最优入口：安装体验丝滑，延迟极低，日常高频使用
• 多模型兜底比单模型稳太多：DeepSeek Pro 主力 + Flash 日常 + LKEAP 高频 + 豆包备选
• Nginx 反代是必需品：解决端口限制、SSL、安全隔离三合一
• 安全左移要制度化：上线即审计，端口/CORS/鉴权一条龙
• cron + Agent = 最好的自动化搭子：自然语言设任务，每天自动执行

一台 2G 内存的 Lighthouse + 开源 OpenClaw + 鹅厂生态产品，一个人也能撑起一支技术团队。

如果你也在养龙虾，欢迎评论区交流 🦀👑

---

OpenClaw 版本 2026.6.1，部署于腾讯云 Lighthouse（2C2G，Ubuntu 24.04），QClaw Bot v1.0.14。