在租用迷你主机上删除 node_modules 安全吗？

若先快照 ~/.openclaw 与 package-lock.json 则安全。在类 CI 环境用 npm ci 而非 npm install，避免意外 semver 抬升。

为何小版本 npm 升级后 OpenClaw 突然提示同伴？

传递依赖可能收紧 peerOptional 范围。运行 npm explain 查看链条，然后固定父插件或将网关 npm 版本与上游发行说明对齐。

应在 doctor 之前还是之后重启 launchd？

doctor 本地通过之后。先重启会掩盖缺失依赖错误，只剩监督器重启循环。

AI 自动化 2026年4月22日

OpenClaw npm 同伴依赖漂移与云端 Mac 干净重建 2026：在 MacLogin Apple Silicon 网关上终结 ERESOLVE 抖动

Q: 何时 npm overrides 比 --legacy-peer-deps 更安全？

overrides 写在已提交并评审的 package.json 中，配工单负责人与到期日，可版本化追溯。--legacy-peer-deps 等标志留在 Shell 历史中、跨工程师不可见；多名团队共用同一租用迷你前缀时应避免，以免下一位同事直接 npm install 时悄悄失效。

MacLogin AI 自动化团队 2026年4月22日约 15 分钟阅读

当 MacLogin 迷你主机上的 npm install 在一次看似无害的插件小版本后由绿转红，根因很少是「npm 坏了」。 几乎都是 同伴依赖漂移：可选同伴、重复大版本，或与网关文档化的 Node 22 基线不一致的提升树。本篇 2026 年 4 月重建指南带平台团队走过可复现的擦洗流程——快照、删除、npm ci、doctor、launchd——覆盖香港、日本、韩国、新加坡与美国，且不把主机磨成雪花机。内含症状矩阵、磁盘数学与 FAQ，适合已阅读 doctor 诊断手册却仍遇启动不稳的团队。

安装模式对比见安装脚本对比 npm 全局；无头入门与守护进程见无头安装与守护进程。突发容量见定价；运维清单见帮助中心；GUI 烟测见 VNC；主题聚合见 OpenClaw 专题。状态目录与备份交接见状态目录指南；上线健康检查见割接与回滚。

共享迷你机上同伴为何刺痛

与可丢弃的 CI 容器不同，租用迷你会在 ~/.npm 缓存与开发者全局前缀下堆积 3–7 个并行实验。每次未完成的 npm link 都会留下搞乱提升的符号链接，使网关从错误深度解析插件，同伴看起来「缺失」尽管 package.json 已列出。

共享主目录意味着某位工程师的 --legacy-peer-deps 会毒害下一次安装。
离线镜像较公共 npm 滞后 24–72 小时，刚收紧的同伴在本地仍看似可用。
LaunchAgents 在日志刷盘前重启网关，掩盖第一条 ERESOLVE 堆栈。

磁盘护栏： 干净安装前，承载 node_modules 的卷至少保留 18 GB 空闲；npm ci 会临时膨胀归档。

症状矩阵

症状	可能根因	首要缓解	验证方式
启动时 ERESOLVE	插件主版本冲突	固定父插件	`npm explain`
网关静默以代码 1 退出	缺失可选同伴	含 dev 依赖的 npm ci	openclaw doctor
热重载循环	部分安装	rm -rf node_modules	diskutil + df

七步干净重建

快照 ~/.openclaw 与锁文件，见状态备份指南。
停止 LaunchAgent，避免文件锁（15 秒优雅期）。
删除 node_modules 与 package-lock.json 仅在政策允许时；否则单独跑 npm ci。
运行 npm cache verify，若报告损坏则 prune。
安装：仅当镜像保证可选同伴时用 npm ci --omit=optional；否则包含 optional 以匹配生产。
执行 openclaw doctor --json > ~/Logs/openclaw-doctor.json。
重启 launchd 并对本地健康端点 curl 5 次以捕获竞态启动。

警告： 勿在同一前缀混用 pnpm 与 npm——链接布局分歧会让同伴随机复现。

锁文件策略与 CI 一致性

将 package-lock.json 提交到部署网关的同一分支。CI 应尽量在 macOS runner 上执行 npm ci；纯 Linux CI 会漏掉 macOS 以不同方式解析的可选依赖，在 2026 年 4 月约占 MacLogin 支持工单的 12%。

在合并门禁中加入：当网关配置下 npm ls --all --omit=dev 非零退出时即失败，即便开发机安装看似正常。再配每周定时任务，在租用迷你本机重放同一命令，以便在 launchd 回收服务前捕获 CI 镜像与主机 APFS 布局之间的漂移。

overrides、bundledDependencies 与 engines 约束

同伴冲突时团队往往先抓标志位。在 MacLogin 主机上更宜采用可交接的声明式修复：overrides 写入 package.json（工单注明负责人与到期日）、必须用原文交付的小型厂商垫片用 bundledDependencies，以及与您运行手册一致的 Node 22 基线下的 engines.npm / engines.node 区间。

overrides 审计： 每条 overrides 须写明所缓解的 CVE、回归或上游工单；仅为「刷绿」而留的空 overrides 在下次梳理时删除。
bundled 依赖： 仅用于法律允许再分发且您在工单附件中做过完整性校验的包。
私有 registry： 若 Verdaccio 或 Artifactory 镜像重排元数据，请固定镜像版本并在锁文件 bump 旁归档 npm view 输出。
工作区布局： 单体仓库网关应声明 npx --no-install 边界，避免兄弟包的意外 npm link 在运行时改写同伴图。

引擎护栏： 在全员确认处于同一 Node 小版本后，为网关前缀的项目 .npmrc 启用 engine-strict=true；小版本不一致是「CI 里同伴满足、迷你上却不满足」的常见隐形根因。

交接模板字段

发起变更时请附上：锁文件哈希前后对比、每个冲突包的 npm explain 摘录、doctor JSON 差异，以及您重启过的 LaunchAgent plist 路径。安全评审用这些字段判断 overrides 是临时债务还是长期策略调整。

node_modules 磁盘预算

每周跟踪 du -sh ~/.openclaw/**/node_modules。累计超过 9 GB 时安排主动重建——SSD 磨损与 APFS 快照在磁盘将近满时都会因安装器抖动而恶化。

在变更窗口把 可用 inode 一并检查；大量小文件同样会拖垮 APFS。
对 CI 写入的临时 .npm/_cacache 设 7 天 TTL 清理任务。

launchd 前的 doctor 门禁

将 doctor JSON 视为发布产物：在工单系统中与上一已知良好版本 diff。若无负责人，新增警告超过 2 条则拒绝变更。从 JP 预发晋升 US 生产时，结合割接健康检查验证回滚路径。

常见问题

--force 何时可用？ 仅一次性克隆；切勿在多人依赖同一前缀的共用租用主机上使用。

香港与美国应使用相同 Node 版本吗？ 是——保持与帮助中心文档一致的 LTS 小版本；不一致常带回「幽灵」同伴告警。

MacLogin 能否代删 node_modules？ 平台级重置适用于紧急情况，但例行卫生应由你的 runbook 拥有，以保留自定义插件钉扎。

何时 npm overrides 比 --legacy-peer-deps 更安全？ overrides 经评审、入版本库且可在 git blame 中看到。legacy 标志躲在 Shell 历史中，下一位工程师裸跑 npm install 时会悄悄消失——故除可丢弃目录外，共用租用迷你应禁止使用。

Mac mini M4 如何加速干净重建

Apple Silicon M4 在单线程 npm 解压上更快，且统一内存足够在网关重装时保持 TypeScript 语言服务温热——工程师不必并行化冒险捷径。MacLogin 的 HK、JP、KR、SG、US 机队让你在依赖网关的工作负载旁重建，避免跨区域 tarball 拉扯放大同伴偏差。

租用让失败实验便宜：快照 ~/.openclaw，删除坏树，若磁盘成为瓶颈可从定价挂载更大迷你主机。

按 npm 依赖图选择合适节点

以 doctor 门禁安装配对 MacLogin Apple Silicon，覆盖 HK、JP、KR、SG、US。

对比方案 OpenClaw 专题