你已经能跑通 OpenClaw Gateway,下一步通常是把 Model Context Protocol(MCP) 工具接进代理工作流:查仓库、调内部 API、跑受控命令。现实摩擦集中在三类问题——工具发现与版本漂移、网关侧白名单与最小权限、以及线上常见的 握手失败 / 超时 / 子进程僵死。本文说明与站内 安装、安全加固、modelRouting、观测 各篇的分工,给出 stdio 与远程 MCP 形态对照、六步可复现上线清单,并附症状对照表,帮助你在生产里把 MCP 当成可审计的「工具供应链」而不是临时插件。
MCP 把「工具调用」从一次性脚本提升成随会话复用的能力面:多一个工具,就多一条数据路径与一段子进程生命周期。若仍按「本地能跑就行」推进,很快会在网关侧遇到工具枚举爆炸、隐式升级、无超时、无白名单四类问题。下面七条用于评审会自检,避免把演示配置抄进生产。
当你有三条以上答案是「是」,就应该把 MCP 当成受治理的供应链:需要显式登记、版本钉扎、观测与回滚,而不是把 openclaw.json 当草稿纸。
工具清单是否随重启漂移:若每次上线工具数量与名称都会变,说明发现路径未版本化或未锁定工作目录,排错会变成「猜今天枚举到了什么」。
是否缺少显式白名单:默认「全开」在演示很快,在生产等于把任意 prompt 映射成任意系统能力;应与 dmPolicy / 执行审批策略一起评审。
stdio 子进程有没有硬超时:无上限等待会让 Gateway 线程/队列被单个僵死 MCP 占满,表现为「模型还在回,但工具永不返回」。
远程 MCP 是否绕过出站策略:HTTP/SSE 工具若未纳入 networkPolicy 讨论,等于在网关背后开新出口,与安全加固篇的假设冲突。
密钥是否经由环境注入:把令牌写在全局环境而不分工具实例,会让一次泄露影响所有 MCP;应分配置段并支持轮换。
是否与 modelRouting 打架:大上下文走高价模型、小任务走轻模型时,工具失败重试可能被不同模型重复触发,需要路由层与工具层共同限流。
观测是否只看 Gateway:若日志里看不到 MCP 子进程启动参数与退出码,线上只能「重启试试」;应与观测篇的日志字段对齐。
把这些信号摊开之后,核心结论是:MCP 接入 = 配置 + 进程 + 网络 + 权限 四条线同时收紧。接下来用一张表把 stdio 与远程 MCP 的差异钉死,再进入六步上线清单。
与站内文章分工可记为:三端安装与 systemd/Docker 篇负责「Gateway 进程如何常驻」;安全加固篇负责「谁能连上、能出站到哪」;modelRouting 篇负责「模型分层与成本」;本文负责「工具从哪来、如何被允许、如何排错」——四者叠在一起才是可审计的生产拓扑。
这张表用于架构评审:同一业务需求往往两种都能实现,但威胁模型与故障模式不同;不要只比较「哪种少写两行配置」。
| 维度 | stdio(本机子进程) | 远程 MCP(HTTP/SSE 等) |
|---|---|---|
| 进程边界 | 与 Gateway 同用户/同主机,继承环境变量与文件权限 | 跨主机,需单独 TLS、鉴权与健康检查 |
| 网络暴露 | 默认无额外监听;风险在本地命令与路径注入 | 引入新端点与出站依赖,需纳入 networkPolicy |
| 升级与复现 | 依赖本地二进制/包管理器版本,需钉版本与哈希 | 可集中发布,但要处理滚动升级与兼容矩阵 |
| 典型故障 | PATH/权限/解释器不匹配导致启动即退出 | DNS、TLS、反代超时与 401/403 链路问题 |
| 观测抓手 | 子进程 PID、退出码、stderr 切片 | HTTP 状态、重试曲线、端到端延迟分位 |
MCP 不是「多一个插件」,而是多了一条可执行供应链;选 stdio 还是远程,本质是在选把风险放在本机边界还是网络边界。
若你还把重型构建或 macOS 专属工具链放在远端执行层,常见拓扑是:Gateway 跑在 Linux/VPS,独占远程 Mac承载 xcodebuild 与签名相关步骤,通过受控通道回传日志与制品。此时 MCP 更适合暴露「轻量编排面」,而不是在网关里堆叠长耗时任务;算力与磁盘仍应落在可合同化的节点上。
按顺序执行,目标是把「工具能用」升级成「变更可审计、失败可定位、回滚有路径」。
登记工具身份:为每个 MCP 写入稳定名称、版本来源(包名/commit/digest)与负责人;禁止匿名脚本随仓库漂移。
最小权限启动参数:stdio 用绝对路径与专用工作目录;远程 MCP 显式 TLS、超时、重试上限,避免隐式系统代理。
配置校验:变更后先跑 openclaw config:validate,再跑 openclaw doctor,把报错当作合并门槛。
白名单对齐:将允许的工具清单与 dmPolicy / 执行审批策略交叉检查,避免「配置里关了、模型还能猜路径」的错位。
灰度通道:先在低流量会话启用新工具,保留旧工具并行一周;记录对比指标(失败率、P95 延迟、子进程重启次数)。
回滚包:备份上一版 openclaw.json 与镜像 digest;故障时优先回滚配置与镜像,再排查工具本身。
{
"mcpServers": {
"internal-git": {
"command": "/opt/mcp/git-mcp",
"args": ["--config", "/etc/mcp/git.prod.json"],
"env": { "MCP_LOG_LEVEL": "info" }
}
}
}
提示:示意片段仅表达结构层次,真实键名与嵌套请以你正在使用的 OpenClaw 版本文档为准;升级大版本前先在预发集群跑同一套 validate/doctor。
安全加固篇强调监听面、Token、dmPolicy 与 networkPolicy;MCP 接入后,工具调用成为新的「执行出口」,需要把允许调用的工具集合与允许触达的下游放在同一评审表里。实践上可为每类工具定义:最大并发、单调用超时、日调用预算,以及失败后的熔断策略。
出现「模型说在调用工具但前端一直转圈」时,优先对照三类根因:子进程未启动(路径/权限)、握手未完成(协议版本/鉴权)、下游阻塞(网络或业务 API)。不要在未采集退出码与 stderr 的情况下反复重启 Gateway,否则会把间歇性故障洗成持续性事故。
与观测篇配合时,把 MCP 启动与销毁事件纳入同一日志关联 ID,便于把「模型请求 → 工具调用 → 子进程退出」串成一条链。
注意:不要在生产环境长期开启「调试级工具枚举日志」而不做脱敏;工具参数里常夹带仓库路径、内网主机名与令牌片段。
下列条目用于值周与事故复盘;具体阈值请用你们自己的 SLO 与监控补齐。
仅在本机笔记本上堆 MCP、缺少网关治理与稳定执行平面时,往往在睡眠、磁盘与多人争用会话上频繁踩坑;把重负载硬塞进 Gateway 同进程也可能放大故障半径。对需要可审计工具链、稳定磁盘与 7×24 可预期算力的团队,更务实的组合是:OpenClaw Gateway 负责会话与策略,独占远程 Mac 节点承接 macOS/iOS 构建与长任务,MCP 只暴露窄接口。综合工具治理与算力成本,NodeMini 的 Mac Mini 云端租赁适合作为执行层底座:把网关上的 MCP 编排与云上 Mac 的构建/签名解耦,再用本文 checklist 管住版本、白名单与超时。
建议先 openclaw config:validate,再 openclaw doctor;需要自动修复已知无效键时谨慎使用 doctor --fix 并留变更记录。更多连接与订购问题可参考 帮助中心。
stdio 适合同机、边界清晰;HTTP/SSE 适合跨主机但要叠加 TLS、鉴权与 networkPolicy。请把选项与 OpenClaw 专栏中的安全篇一起评审,而不是单独拍脑袋。
Gateway 继续负责对话与工具策略;重负载放到独占远程 Mac。可先浏览 OpenClaw 分类与 租赁价格说明,把工具编排与算力节点分开规划。