管理 AI 代理通常意味着在终端窗口、SSH 会话和散落各处的配置文件之间疲于奔命。Office Claws 用一个桌面应用和一间像素艺术办公室取代了这一切——每个代理都坐在自己的工位上,随时准备工作。本指南将带您完成设置的每一步,从下载应用到与您的第一个代理对话。
开始之前的准备工作
在打开安装程序之前,请准备好以下内容。一切就绪后,整个设置过程不超过五分钟。
所有套餐的必备条件
- AI 服务商 API 密钥。 Office Claws 支持 OpenAI(GPT-4o、GPT-4o-mini)和 Anthropic(Claude Sonnet 4)。在您选择的服务商网站上注册并生成 API 密钥。如果不确定选哪个,GPT-4o 是通用任务的可靠默认选择,而 Claude 在细致推理和长上下文处理方面表现出色。
- Tailscale 账户和授权密钥。 Tailscale 在您的桌面和代理 VPS 之间创建加密网络。在 tailscale.com 创建免费 Tailscale 账户,然后在管理控制台的 Settings > Keys > Generate auth key 下生成临时授权密钥。勾选"Ephemeral"选项,这样密钥会自动清理未使用的节点。
- 运行 macOS、Windows 或 Linux 的桌面电脑。
自托管套餐的额外要求
- DigitalOcean 账户和 API 令牌。 Office Claws 在您的账户上创建 Droplet,让您拥有完全的可见性和控制权。在 DigitalOcean 控制面板的 API > Tokens > Generate New Token 下生成个人访问令牌,需要同时授予读取和写入权限。
选择合适的套餐
Office Claws 提供两种套餐。两者都包含相同的桌面应用、像素艺术办公室、实时代理对话和多代理支持。区别在于谁拥有基础设施。
自托管 — $4.99/月
您提供 DigitalOcean 账户。Office Claws 代您创建和管理 Droplet,但资源存放在您的云账户中。Office Claws 端不收取额外代理费用——您只需直接向 DigitalOcean 支付计算资源的费用。
此套餐最适合开发者、技术负责人,以及需要完全控制基础设施或计划运行三个以上代理的用户。
托管 — $14.99/月
Office Claws 全权处理 VPS。不需要 DigitalOcean 账户。标准版包含 2 GB 内存,性能版(4 GB 内存)为 $29.99/月。每个额外代理 $14.99/月。
此套餐最适合产品经理、非技术用户,以及希望代理运行而无需接触云基础设施的人。
早期用户优惠
前 100 名用户享受优惠价格,在订阅期间永久锁定:
- 自托管:$2.99/月(原价 $4.99)
- 托管:$9.99/月(原价 $14.99)
第 1 步:下载并安装
从官网首页下载适用于您操作系统的 Office Claws。该应用基于 Wails 构建,原生运行——没有 Electron,没有浏览器开销。
- macOS: 打开
.dmg文件,将 Office Claws 拖入"应用程序"文件夹。 - Windows: 运行
.exe安装程序,按照提示操作。 - Linux: 解压
.tar.gz压缩包并运行二进制文件,或在 Debian 系发行版上使用.deb安装包。
安装完成后启动应用。
第 2 步:创建账户
Office Claws 首次打开时,您将看到登录界面。点击 Register 创建新账户。输入您的邮箱和密码。注册后将自动登录。
如果您已有账户,输入凭据并点击 Login 即可。
第 3 步:配置您的 VPS(引导步骤 1)
登录后,设置向导开始。第一步是配置代理的基础设施。
如果您选择了自托管
选择 "Own your VPS",输入您的 DigitalOcean API 令牌。Office Claws 会立即验证令牌并显示确认信息。您的令牌仅存储在本地机器上,绝不会发送到 Office Claws 服务器。
如果您选择了托管
选择 "We provide the VPS",Office Claws 将代您处理基础设施。无需云凭据——直接进入下一步即可。
第 4 步:设置您的代理(引导步骤 2)
向导的第二步为您的代理进行个性化配置。设置以下各项:
主要目标
选择代理的专注方向:
- Work Assistant — 适合开发任务、代码审查、写作和研究。
- AI Researcher — 专为深度分析、文档摘要和技术探索而调优。
- Just for Fun — 用于头脑风暴和日常对话的聊天伙伴。
沟通风格
设置代理的语气:
- Friendly — 随意且亲切。
- Business — 专业且简洁。
- Creative — 富有表现力和想象力。
名称和头像
为您的代理命名并从 12 个可用的像素艺术头像中选择一个。这就是代理在办公室中的形象——坐在工位上打字、去倒咖啡,或者在沙发上休息。
连接您的密钥
输入您的 Tailscale 授权密钥和 AI 服务商 API 密钥。两者都存储在本地机器上。AI 密钥仅在部署期间使用一次,用于配置代理与 LLM 服务商的连接——它通过 SSH 直接注入 VPS,绝不经过 Office Claws 服务器。
第 5 步:部署您的代理
点击 Create Agent 开始部署。Office Claws 会显示一个带有实时状态更新的进度界面:
- 创建 VPS(使用预构建快照以加快速度)。
- 将 VPS 连接到您的 Tailscale 网络。
- 使用 Docker 安装代理运行时。
- 配置 AI 服务商连接。
整个过程大约需要 2 到 3 分钟。Office Claws 使用基于快照的部署——VPS 从预配置的镜像启动,而不是从零开始安装所有内容,相比全新安装节省了 90% 的设置时间。
第 6 步:开始与代理对话
部署完成后,您的代理会出现在像素艺术办公室的工位上。点击代理的像素小人,即可在屏幕右侧打开聊天面板。
试试以下消息来测试您的设置:
- "你能帮我做什么?"
- "帮我总结这份文档:[粘贴文本]"
- "审查这段代码中的错误:[粘贴代码]"
您的代理会实时响应。聊天面板会显示完整的消息历史,您可以随时接续之前的对话。
了解像素艺术办公室
办公室不仅仅是一个视觉装饰。它让您一目了然地掌握所有代理的状态:
- 在工位上打字 — 代理正在处理任务或处于可用状态。
- 去倒咖啡 — 代理处于短暂的空闲周期。
- 在沙发上休息 — 代理处于较长的空闲状态。
- 坐在离线区域 — 代理的 VPS 无法连接。
随着您添加更多代理,每个代理都会被分配到办公室中的一张桌子。布局支持主办公室最多六张桌子、侧办公室一张桌子,以及休息区的沙发座位。
API 密钥如何保持安全
使用 AI API 密钥时,安全性是常见的顾虑。以下是 Office Claws 的处理方式:
- 仅本地存储。 密钥存储在您的机器上,绝不存放在 Office Claws 服务器上。
- 一次性注入。 部署期间,密钥通过 Tailscale 网络上的加密 SSH 连接直接发送到 VPS。
- 预算上限虚拟密钥。 在 VPS 上,LiteLLM(开源代理)创建带有消费限额的虚拟密钥。真实密钥被锁定在 LiteLLM 的配置中。
- 无中间人。 API 请求从代理的 VPS 直接发送到 AI 服务商。Office Claws 从不代理或检查 LLM 流量。
Office Claws 自动化了什么:您跳过的手动设置
要理解一键部署的价值,看看在没有它的情况下设置一个安全的 AI 代理 VPS 是什么样子会很有帮助。以下是 Office Claws 在幕后自动处理的每一个步骤。如果您自己操作,每台服务器大约需要 45 分钟到一个小时的终端工作——前提是每条命令都一次成功。
创建并访问服务器
手动操作时,您需要登录 DigitalOcean(或其他云服务商),创建一个 Ubuntu 24.04 Droplet,等待启动,然后以 root 身份 SSH 登录。您还需要生成 SSH 密钥对,上传公钥,并确认可以连接。
创建非 Root 用户
以 root 身份运行服务存在安全风险。您需要创建一个专用用户,将其添加到 sudo 组,将 SSH 公钥复制到其 authorized_keys 文件中,并设置正确的文件权限(.ssh 目录为 700,密钥文件为 600)。然后配置针对特定命令(防火墙、Tailscale 和 Docker)的免密码 sudo 访问,这样代理进程可以管理这些服务而无需完整的 root 权限。
加固 SSH
全新 Ubuntu 服务器上的 SSH 默认允许 root 登录和密码认证——这两者都是常见的攻击载体。您需要编写加固配置来禁用以下所有选项:
- Root 登录(
PermitRootLogin no) - 密码认证(
PasswordAuthentication no) - 质询-响应认证
- X11 转发
- 代理转发
然后使用 sshd -t 验证配置语法并重启 SSH 服务。这个文件中的一个拼写错误就可能让您被锁在服务器外面。
安装和配置防火墙
接下来,安装 ufw(简易防火墙)并设置拒绝所有入站连接的默认策略。您需要临时在所有接口上允许 SSH,以免断开连接,然后——在 Tailscale 运行后——将 SSH、HTTPS 和代理网关端口(18789)限制为仅通过 Tailscale 接口访问,并删除公网 SSH 规则。最终的防火墙状态:
- 所有入站流量默认拒绝
- 端口 22(SSH):仅允许通过 Tailscale
- 端口 443(HTTPS):仅允许通过 Tailscale
- 端口 18789(代理网关):仅允许通过 Tailscale
- 所有出站流量允许
如果操作顺序出错——在 Tailscale 启动前限制 SSH——意味着完全失去服务器的访问权限。
设置入侵防护
安装并启用 fail2ban,它会监控认证日志并临时封禁显示暴力登录模式的 IP 地址。即使 SSH 因配置错误而暴露,这也增加了一层防御。
启用自动安全更新
安装 unattended-upgrades 和 apt-listchanges,然后使用 dpkg-reconfigure 进行配置。这确保服务器自动应用安全补丁,无需人工干预。跳过此步骤意味着您的服务器在几周内就会落后于补丁更新。
分配交换内存
在 /swapfile 创建 2 GB 的交换文件,设置权限为 600,使用 mkswap 格式化,使用 swapon 激活,并添加到 /etc/fstab 使其在重启后持久存在。没有交换内存的话,代理进程的内存峰值可能会杀死容器或导致服务器崩溃。
安装和配置 Tailscale
从官方安装脚本安装 Tailscale,使用您的授权密钥和主机名启动,等待 IP 分配(最多 60 秒),将操作者设置为非 root 用户,请求 TLS 证书,并在代理网关端口上启用 HTTPS 服务。这创建了加密隧道,取代了所有代理通信的公网暴露。
安装 Docker 并拉取代理镜像
从官方安装脚本安装 Docker,将非 root 用户添加到 docker 组,如需要则进行容器注册表认证,并预拉取代理运行时镜像。然后使用正确的环境变量、内存限制(1800 MB,2 GB 交换内存)、主机网络、持久卷和重启策略(确保重启后存活)启动容器。
注入 AI 服务商密钥
在启动容器时将 API 密钥作为环境变量传入。配置代理连接到正确的服务商端点——Anthropic、OpenAI、Groq、OpenRouter 或 Together——并设置网关的 WebSocket 连接、TLS 和操作者权限。然后等待网关初始化,从容器日志中提取认证令牌。
验证一切正常
确认防火墙规则正确、Tailscale 已连接、Docker 容器正在运行、代理通过网关响应,以及您的本地机器可以通过 Tailscale 网络访问它。更新本地 SSH 配置和 known_hosts 以便日后方便访问。
这些加起来意味着什么
以下是每个 Office Claws 代理 VPS 上配置的所有软件包和服务的完整列表:
| 组件 | 用途 |
|---|---|
ufw | 仅限 Tailscale 访问规则的防火墙 |
fail2ban | 暴力破解入侵防护 |
unattended-upgrades | 自动安全补丁 |
| SSH 加固配置 | 禁用 root 登录、密码、转发 |
| Tailscale | 加密网络和 TLS 证书 |
| Docker | 带内存限制的容器化代理运行时 |
| 2 GB 交换内存 | 内存溢出保护 |
| 具有限定 sudo 权限的非 root 用户 | 最小权限原则 |
这是跨越大约 20 个手动步骤配置的八层安全防护,每一步都有各自的失败模式。防火墙顺序搞错,您会被锁在外面。忘记交换内存,代理在负载下崩溃。跳过 unattended-upgrades,服务器会积累漏洞。SSH 加固配置出错,您会留下一扇敞开的门——或者把自己关在外面。
使用 Office Claws,您只需点击 Create Agent,看着进度条走两分钟,就能获得以上全部——加固、测试、连接就绪。基于快照的部署意味着每台服务器都从预构建的、经过验证的镜像启动,因此您预期的与实际得到的之间零偏差。
常见设置问题排查
部署时间超过 5 分钟
这通常意味着 DigitalOcean API 正在经历延迟。在 status.digitalocean.com 查看是否有故障。如果进度界面超过 5 分钟没有动静,请取消并重试。
Tailscale 授权密钥被拒绝
确保密钥是临时密钥且未过期。Tailscale 授权密钥可以设置较短的有效期。如果需要,请从 Tailscale 管理控制台生成新的密钥。
部署后代理显示离线
确认您桌面上的 Tailscale 客户端正在运行。代理通过 Tailscale 网络通信,因此双方都需要连接。打开 Tailscale 应用并确认您的机器显示为"Connected"。
VPS 设置期间出现"Invalid API token"错误
仔细检查您的 DigitalOcean 令牌是否同时具有读取和写入权限。仅有只读权限的令牌无法创建 Droplet。
接下来做什么
当您的第一个代理启动并运行后:
- 添加更多代理。 每个代理都有自己的 VPS 和办公室工位。在自托管套餐下,额外代理除了 DigitalOcean Droplet 的费用外不产生任何成本。
- 尝试不同的 AI 服务商。 为一个代理使用 Anthropic,另一个使用 OpenAI,对比它们在您工作负载上的表现。
- 探索代理角色。 不同的目标和沟通风格组合会产生明显不同的交互模式。
设置 Office Claws 只需几分钟,但结果是一个持久运行的 AI 工作空间,无论应用是否打开都在运行。您的代理在 VPS 上持续工作,您随时可以重新连接。