每月只需10美元，在树莓派上就能搭出一套安全、私密的AI智能体，彻底摆脱云服务的束缚。核心看点：本地部署OpenClaw的安全加固方案与优势，树莓派硬件与模型API费用的详细成本分析，以及从SSH密钥配置到完整环境搭建的保姆级教程。

这是一份以安全为第一优先级的家庭本地AI智能体部署指南——数据与权限完全自主掌控，不依赖任何云服务。VPS方案当然也可行，但用树莓派或Mac mini本地运行要简单得多，而且树莓派是原生环境，操作直观方便。

这份指南的目标是让非技术人员也能轻松跟随，全程只需复制粘贴命令即可运行。市面上虽然有不少一键部署方案，但安全始终是核心关切。这里给出的方案通过多层防护降低风险，重点从最小权限、Tailscale加密、干净的手动配置开始，搭建一套足够安全的私人AI智能体。

内容较长，建议备杯咖啡，慢慢看。

运行它完全安全吗？

没有任何AI系统或模型是绝对安全的，但通过安全加固方案，可以显著缩小潜在风险的影响范围。所谓“影响范围”，简单说就是：万一出问题，这些方案能把智能体可能造成的破坏降到最低。

为何将安全放在首位？

OpenClaw 是一个极其强大的工具——甚至能用它在手机上直接生成网站。但这也意味着，它需要访问你的私人文件、系统登录信息与关键安全配置。安全级别不够，后果会相当严重。

整套方案要花多少钱？

如果你手里已经有一台树莓派，那么唯一的成本就是模型API的费用。例如，Kimi 2.5在树莓派上表现不错，VPS上使用GLM也很顺手，两者速度略有差异，但最大的区别在价格。Claude的成本至少是它们的10倍，速度确实快，但对非技术、非开发人员来说，GLM和Kimi已经完全够用。

这需要多少钱？

1. 树莓派4b或5，配备4GB内存（如果已有则忽略此项）
2. GLM 4.7模型Lite计划（Claude Code使用量的3倍）——每月3美元
3. 如果想用Kimi 2.5——20美元（性能比GLM更快更好）

仅此而已！这些就是唯一的固定费用。其余开销取决于是否需要自定义技能或不同的语言模型。

让我们开始设置吧！

1. 在Mac上创建SSH密钥以访问树莓派

什么是SSH密钥？可以将其视为一种极难猜测的特殊密码。每次连接到树莓派时，无需输入密码，计算机就会自动用此密钥证明身份。当你想以无头方式（无需屏幕或键盘）控制树莓派时，这种方法非常有效。

为何更安全：

• 无需记住或担心密码被盗
• 无法被暴力破解
• 每个设备都有自己唯一的密钥

双密钥系统

创建SSH密钥时，你会得到两个文件：

• 私钥——保存在Mac上（至关重要！它赋予了对树莓派的远程访问权限）
• 公钥——放在树莓派上

就像锁和钥匙：树莓派有锁（公钥），Mac有钥匙（私钥）。

如何创建SSH密钥

ssh-keygen -t ed25519 -C "raspberry-pi"

此命令专门为树莓派创建一个新的SSH密钥。接下来的命令只需按回车键，密钥将存储在默认位置。

获取树莓派的公钥

cat ~/.ssh/id_ed25519.pub

输出一个公钥地址，形如：ssh-ed25519 AAA23423sfdafsdfTE5AAAAIJw... raspberry-pi。复制此密钥，并在安装树莓派操作系统时粘贴到SSH设置中。

2. 使用笔记本电脑设置树莓派的SSH

此设置假设已安装树莓派操作系统到SD卡并启用了SSH。唯一需要记住的是：启用SSH并粘贴公钥而非密码，省去存储密码的麻烦。

3. 使用Tailscale连接你的设备

什么是Tailscale？

想象一下为你的设备创建一个专用互联网。普通互联网下，树莓派和Mac通过路由器、ISP和公共互联网通信，可能被拦截。Tailscale是第一道防线——即使设置步骤稍长，也不应跳过。

使用Tailscale后，设备会直接创建加密隧道进行通信，就像在同一个专用网络上，无论一个在家、一个在咖啡店。

为何需要它：

• 从任何地方（工作、度假、任何有互联网的地方）访问树莓派
• 所有通信自动加密
• 无需复杂的路由器设置
• 即使在防火墙后也能工作

创建Tailscale账户（个人使用完全免费）

访问 https://tailscale.com，点击“开始使用”并用电子邮件注册。最多支持3台设备免费使用，只使用Mac和树莓派的话完全够用。

在树莓派和Mac上安装Tailscale

1. 从Mac上打开终端，通过SSH连接到树莓派：

   ssh yourusername@yourpi.local

   （用户名是设置树莓派时在成像器中保存的）
2. 安装Tailscale：

   curl -fsSL https://tailscale.com/install.sh | sh

3. 将树莓派连接到Tailscale：

   sudo tailscale up

   会看到类似“要进行身份验证，请访问：https://login.tailscale.com/a/abc123xyz”的提示。按链接登录到Tailscale账户，第一台设备就连接成功了。
4. 将Mac连接到Tailscale：访问 https://tailscale.com/download，下载macOS版本并安装。打开Tailscale，点击“登录”，使用同一账户登录。两台设备现在可以通过安全通道通信了。

如何通过Tailscale将Mac与树莓派连接

使用Tailscale IP代替用户名来控制树莓派：

ssh yourusername@100.xx.xx.xx (Tailscale IP)

• 在浏览器中访问Tailscale仪表板，复制PI设备列表旁的IP。
• 在树莓派终端输入：

  tailscale ip -4

注意：确保两台设备开机时都自动连接到Tailscale，最简单的方法是在设备终端输入 sudo tailscale up。

至此，第一道防线已经建立。Tailscale只是安全加固协议之一，但目的是让你迈出第一步。

让我们安装OPENCLAW

这部分是所有步骤中最简单的，设置非常周到，充分考虑入门体验。

先决条件

• 连接互联网的树莓派
• 通过Tailscale使用SSH访问树莓派
• Mac也连接到Tailscale

步骤1：安装OpenClaw

在树莓派终端中输入：

curl -fsSL https://openclaw.ai/install.sh | bash

步骤2：完成入门向导

安装脚本自动启动向导，按提示配置：

1. 网关模式——选择“本地”
2. 工作空间目录——选择默认位置，便于管理和遵循文档
3. 模型认证——配置AI模型提供商和API密钥。这里输入模型API密钥。以GLM和Kimi 2.5为例，GLM链接可获取。
4. 网关配置——端口18789，绑定地址选“Tailnet”（仅Tailscale IP），认证方式推荐“令牌”（Token），按回车自动生成安全随机令牌。
5. Tailscale配置——关闭（不暴露Tailscale）
6. 频道——配置Telegram、Discord等。这里以Telegram为例：Telegram (Bot API)，按以下步骤获取令牌。

Telegram配置

• 在手机上打开Telegram，搜索 @BotFather
• 发送 /newbot
• 按照提示为机器人命名
• 复制BotFather给你的令牌
• 粘贴到上一步骤5中

回到OpenClaw设置中：

• “现在是否配置直接消息访问策略？”——选择“是”
• Telegram直接消息策略：推荐“配对”（用户必须获得批准）。配对是最安全的选项，批准每个新用户；允许列表是预先批准的用户列表；开放则任何人都可发送消息（不推荐）。

现在来添加技能

这取决于需要哪些服务，但这里也是容易受提示注入攻击的环节，请谨慎操作。恭喜！现在你拥有一台完全本地运行、安全加密、低成本的AI智能体。希望这份指南能助你顺利搭建自己的私人AI助理。