Mit openclaw mcp serve spricht ein MCP-Client OpenClaw-gestützte Konversationen über eine stdio-Brücke an, die per WebSocket an Ihr Gateway andockt und u. a. Auflistung, Transkript-Lesen, Live-Ereignisse, Antworten und Hilfen rund um Genehmigungen bereitstellt — ohne pro Kanal eigene Klebstoff-Integration. Die folgende Checkliste fasst Startmuster, Token-Dateien, die oft verwechselten Allowlist-Schichten und das Reset-Verhalten der Live-Warteschlange pro Sitzung zusammen. Host und Dienstmodelle zuerst klären? Siehe OpenClaw 2026 auf dem Cloud-Mac: Umgebungschecks statt Linux-Reflexe, launchd im Hintergrund, FAQ zur reproduzierbaren Fehlersuche sowie 2026 OpenClaw Linux-Cloud-VPS in der Praxis: curl-Installation vs. Docker, Umgebungschecks und FAQ zu typischen Fehlern.
Was openclaw mcp serve wirklich startet
Der MCP-Client startet die Brücke; solange stdio offen bleibt, verbindet sie sich mit einem lokalen oder entfernten Gateway und spiegelt geroutete Konversationen in MCP-Tools. Für die Discovery brauchen Sie Metadaten zu Gateway-Routen — leere Zeilen in conversations_list deuten meist auf unvollständige Sitzungsrouten, nicht auf defektes MCP-JSON. Ältere Nachrichten lesen Sie mit messages_read; events_poll und events_wait decken nur Ereignisse ab, die nach dem Verbindungsaufbau der Brücke eintreffen.
# Lokales Gateway (Standard) openclaw mcp serve # Entferntes Gateway + Token-Datei (Shell-History vermeiden) openclaw mcp serve --url wss://gateway-host:18789 \ --token-file ~/.openclaw/gateway.token # Ausführliche Brücken-Logs auf stderr openclaw mcp serve --verbose
| Topologie | Ideal für | Stolpersteine |
|---|---|---|
| Lokales Gateway + lokaler Client | Laptop-Iteration, reproduzierbare Tests | Genehmigungen und Sends weiterhin wie produktionsnahe Aktionen behandeln |
| Entferntes Gateway + Token-Datei | Team-Gateway auf Cloud-Mac oder VPS | Token wie SSH-Keys rotieren; Dateisystemrechte auf dem Token-Pfad eng führen |
| Claude-Kanalmodus aktiv | Clients im Claude-Code-Stil mit Zusatz-Benachrichtigungen | Generische Clients sollten eher pollen; Notifications nur in Live-Sitzungen |
Token- und Passwort-Auth ohne Geheimnis-Leaks
Entfernte Gateways akzeptieren die üblichen Schalter: --token / --token-file oder --password / --password-file. Dateibasierte Flags sind vorzuziehen, damit Geheimnisse nicht in der Shell-History landen. In CI Token nur lesend mounten und WebSocket-URLs aus gemeinsamen Logs fernhalten. MCP-Konfiguration sollte Pfade statt Inline-Secrets referenzieren; POSIX-Berechtigungen auf den Agenten-Benutzer zuschneiden.
Tool-Allowlists: drei Schichten, die leicht vermischt werden
Schicht eins: Die Brücke veröffentlicht eine feste Tool-Oberfläche — die Allow-/Deny-Liste des MCP-Clients ist das erste Tor. Schicht zwei: openclaw mcp list|set|unset speichert ausgehende MCP-Definitionen für andere OpenClaw-Laufzeiten; Schreibvorgänge tasten den Remote-Server nicht an. Schicht drei: Kanal-Allowlists und Pairing entscheiden, wer sprechen darf; messages_send folgt nur einer bestehenden Sitzungsroute. Debug-Reihenfolge bei „fehlenden Tools": Client-Profil, Gateway-Routen, Kanalrichtlinien.
Sitzungsisolation: Queues, Genehmigungen und Claude-Push
Jede stdio-Sitzung besitzt eine eigene Live-Warteschlange im Speicher; beim Trennen geht der Live-Zustand verloren — für persistente Historie messages_read nutzen. permissions_list_open ist ebenfalls flüchtig, und Claude-Kanal-Benachrichtigungen existieren nur, solange die Brücke steht. Langlebige IDE-Sitzungen anders dokumentieren als kurze CI-Sonden, etwa bei Genehmigungs-Timeouts.
pnpm test:docker:mcp-channels) für Discovery, Transkripte, Anhangs-Metadaten, Live-Queue und Benachrichtigungspfade — sinnvoll, bevor produktive Telegram- oder Discord-Routen anliegen.
FAQ aus Postmortems
Warum liefert conversations_list nichts?
Provider, Empfänger sowie optionale Account-/Thread-Metadaten prüfen; eine eingehende Nachricht materialisiert die Route oft erst.
Warum hat events_wait eine ältere eingehende Nachricht verpasst?
Das ist erwartbar: Live-Queues starten beim Verbinden. Ältere Zeilen mit messages_read lesen, danach pollen oder warten.
Sollen wir den Claude-Kanalmodus überall aktivieren?
auto verhält sich derzeit wie „an" — dennoch Benachrichtigungen nur für Clients einschalten, die sie implementieren; generische Agenten pollen.
Wie halten wir gefährliche permissions_respond-Freigaben aus der CI fern?
permissions_respond wie sudo behandeln: Auto-Approver eng halten, Menschen bei neuen Plugins einbinden und Brücken-Zustand niemals als Ersatz für Code-Review missverstehen.
Auf einem Cloud-Mac mini bleibt dieser Workflow langweilig — im positiven Sinne
Gateway-gestützte Agenten profitieren von denselben Stärken wie ein macOS-Entwicklungsrechner: natives Unix-Userland, planbare launchd-Dienste für dauerhaft laufende Brücken und Homebrew-nahe Paketierung für Abhängigkeiten, die Ihre MCP-Kette berührt. Apple Silicon und vereinheitlichter Speicher halten Node- und WebSocket-Last auch bei parallelen Sitzungen ruhig; ein Mac mini M4 bleibt im Leerlauf oft nur wenige Watt — leise genug, um Bridges rund um die Uhr online zu lassen, ohne das Büro in einen Mini-Rechenraum zu verwandeln.
Sicherheitstechnisch ergänzen Gatekeeper, SIP und FileVault gut zu dateibasierten Token: Geheimnisse lassen sich auf einen Dienstbenutzer begrenzen, während die Malware-Oberfläche typischer dauerhaft eingeschalteter Windows-Hosts deutlich größer ausfällt. Wer OpenClaw 24/7 zuverlässig online haben will, gewinnt meist an Stabilität und klarer Vertrauensgrenze gegenüber improvisierten Reserve-Laptops.
Wenn Sie festlegen, wo das Gateway dauerhaft laufen soll, sind VPSSpark-Tarife für den Cloud-Mac mini M4 ein pragmatischer Einstieg — Pakete jetzt ansehen und die MCP-Brücke auf Hardware legen, die für ganztägigen macOS-Betrieb gebaut ist.