Ohne localhost-Callback · drei Anmeldepfade · Acht-Schritte-Runbook · zwanzig Minuten Abnahme
OpenClaw v2026.5.20 (2026-05-21) hebt xAI device-code OAuth auf Leasing-Macs auf Produktionsniveau: Die CLI gibt eine xAI-URL und einen Kurzcode aus, pollt den Token-Endpunkt auf dem Gateway-Host — ohne Listener auf 127.0.0.1:56121. Teams mit SuperGrok oder X Premium, die bisher an Loopback-OAuth, Polling-Timeout oder „CLI ok, Gateway 401“ scheitern, bekommen eine auditierbare Betriebsanleitung: drei Credential-Pfade, SSH-versus-VNC-Matrix, Acht-Schritte-Runbook, vier Ticket-Fakten und ein zwanzigminütiges Abnahmeraster. Grünfeld: 10-Minuten-Route. Codex-OAuth aus 5.5/5.6 getrennt dokumentieren — siehe v2026.5.6 Doctor-Recovery. Nach Grok-Login Fallback-Ketten in Multi-Modell-Routing prüfen; launchd-User-Disziplin in launchd-Checkliste.
Wer Claude oder OpenAI schon über OpenClaw routet, unterschätzt xAI leicht: Der empfohlene Weg ist Abonnement-OAuth, und bis v2026.5.20 endete der praktische Standard auf Remote-Hosts oft in Loopback-Callback mit 127.0.0.1:56121. In Incident-Reviews dominieren nicht Modellqualität, sondern Callback-Erreichbarkeit, Kontoberechtigung, Default-Modell nach Auth und Credential-Pfad unter dem falschen macOS-User.
Loopback-Mismatch: Browser-OAuth erwartet den Callback auf dem Host, der den Login-Befehl ausführt. Öffnen Sie die URL auf dem Windows-Laptop, landet der Token nicht auf dem Leasing-Mac.
Headless ohne device-code: Vor 5.20 blieben Port-Forward oder VNC-Browser — fragil bei NAT, Sleep und geteilten HOME-Verzeichnissen.
Auth ok, falsches Modell: OAuth legt ein xAI-Profil an, setzt aber nicht automatisch agents.defaults.model.primary. Smoke-Tests gegen den alten Default wirken wie „Grok defekt“.
Abonnement-Grenze: xAI entscheidet über OAuth-API-Tokens. Ohne berechtigtes SuperGrok/X Premium bleibt der API-Key-Pfad laut Provider-Doku.
Consent „Grok Build“: Gemeinsamer OAuth-Client — kein Installationsfehler, im Ticket vermerken.
OAuth vs. Medien-Key: Chat und web_search/x_search laufen auf OAuth; TTS/STT kann XAI_API_KEY verlangen — Erwartungen im Rollout trennen.
In v2026.5.20 kommt zusätzlich das Policy-Plugin (doctor lint, Kanal-Conformance). Das ist Härtung, nicht Grok-Login — Policy-Warnungen und xAI-Auth in getrennten Change-Requests führen.
OpenClaw dokumentiert drei xAI-Credential-Pfade. Im Change-Ticket explizit wählen — „wir nutzen OAuth“ reicht für Remote-Mac-Ops nicht.
| Pfad | Wann | Remote-Mac-Hinweis | Passkriterium |
|---|---|---|---|
| Browser-OAuth --method oauth | GUI auf dem Gateway-Host | In VNC funktionsfähig; über reines SSH fragil | models auth list --provider xai zeigt Profil |
| Device-code OAuth --device-code | SSH, Docker, VPS ohne Loopback | URL+Code in CLI; Browser beliebig; Remote pollt | Polling erfolgreich |
| API-Key --method api-key | Console-Keys, Medien, ineligible OAuth | SecretRef; doctor warnt bei Klartext | Modell-Probe 200 |
| Abnahme | Nur SSH | VNC empfohlen | Passkriterium |
|---|---|---|---|
| openclaw --version ≥ 2026.5.20 | Ausreichend | Optional | CLI und Gateway aligned |
| Device-code Login | Ausreichend | Optional | Token-Tausch ok |
| Browser-OAuth auf Host | Allein nicht | Ja — Safari/Chrome auf Mac | 56121-Callback ok |
| models set xai/grok-4.3 | Ausreichend | Konsolen-Picker | Default xai |
| Gateway-Chat-Smoke | IM oder CLI | Konsole + Kanal | Grok-Antwort |
| Doctor Klartext-Lint | openclaw doctor | Config in GUI | Kein stray xAI-Key bei OAuth-only |
Günstigster Grok-Rollout auf Leasing-Mac: SSH für device-code und Logs + VNC als gleicher User für Konsolen-Modellstatus — nicht entweder/oder.
Device-code löst Transport; es ersetzt keine launchd-User-Disziplin. Kombinieren mit launchd-Checkliste, damit Tokens aus SSH-Session A der Gateway-Daemon B sieht.
Einfrieren und Backup: OpenClaw-Config und State exportieren; openclaw --version, Gateway-Build, launchd-User notieren. Grünfeld: 10-Minuten-Route.
Upgrade auf ≥ 2026.5.20: device-code OAuth kommt in diesem Release. CLI und Gateway auf dieselbe Build bringen — gemischte Versionen erzeugen „Login ok, Gateway 401“.
Neuinstallation: openclaw onboard --install-daemon --auth-choice xai-device-code. OAuth braucht keinen xAI-API-Key.
Bestehende Installation — nur Grok: kein vollständiges Onboarding wiederholen. openclaw models auth login --provider xai --device-code als derselbe User wie der Gateway-Daemon.
Device-code im Browser abschließen: CLI gibt xAI-URL und Kurzcode aus. URL auf Laptop/Telefon öffnen, Code eingeben, zustimmen. SSH-Session offen lassen bis Polling „success“ meldet.
Default-Modell setzen: Auth allein ändert nicht agents.defaults.model.primary. openclaw models set xai/grok-4.3 (oder Katalog-ID). Prüfen mit openclaw models status und models auth list --provider xai.
Suche optional aktivieren: tools.web.search.provider grok und x_search laut Grok-Freigaben-Leitfaden.
Neustart und Probe: openclaw gateway restart, kurzer Chat-Smoke über konfigurierten Kanal. CLI-Auth-Auszug + Gateway-Log ins Ticket. Bei Stille zuerst Keine-Antwort-Triage, dann OAuth neu öffnen.
openclaw --version openclaw doctor # Neuinstallation (Remote / SSH) openclaw onboard --install-daemon --auth-choice xai-device-code # Bestehend — nur Grok-Auth openclaw models auth login --provider xai --device-code openclaw models auth list --provider xai openclaw models set xai/grok-4.3 openclaw models status openclaw config set tools.web.search.provider grok openclaw gateway restart
Alternative Browser-OAuth: sitzen Sie bereits in VNC auf dem Gateway-Host, kann openclaw models auth login --provider xai --method oauth schneller sein, weil der Loopback-Callback lokal landet. Zu device-code wechseln, wenn Port 56121 nicht weiterleitbar ist oder mehrere Operatoren eine SSH-Bastion teilen.
v2026.5.20 liefert außerdem das Policy-Plugin (doctor lint, Kanal-Conformance). Policy-Befunde getrennt von xAI-Auth dokumentieren. Bei Klartext-Warnungen: SecretRef laut SecretRef-Audit-Checkliste, auch wenn Grok-Chat auf OAuth läuft.
xAI-OAuth-Tokens liegen im OpenClaw-State auf dem Gateway-Host. Behandeln Sie den Remote-Mac als hochsensitives Asset, auch ohne API-Key:
User-Kontext: SSH-User, VNC-Desktop und launchd-Daemon müssen für Token-Sichtbarkeit übereinstimmen. $HOME und whoami in SSH und VNC vergleichen.
Backup-Umfang: Backups mit OAuth-Profilen einschränken; Token-Verzeichnisse nicht in öffentliche Cloud-Syncs legen.
Abonnement-Grenze: xAI entscheidet OAuth-Berechtigung. Unberechtigte Konten → API-Key-Pfad; device-code nicht endlos wiederholen.
Gateway-Exposition: OAuth-Tokens und Konsole 18789 sind verschiedene Trust-Domänen. Bei Exposition über Loopback: Gateway-HTTPS-Leitfaden.
Egress/Proxy: Firmen-Proxies können OAuth-Polling blockieren. HTTPS_PROXY laut Outbound-Proxy-Runbook setzen.
Triage bei device-code-Fehler: (1) CLI ≥ 2026.5.20 + Gateway-Neustart; (2) xAI-Abonnement prüfen; (3) frischen Code vor Poll-Timeout; (4) Proxy-Egress; (5) models auth list vs. Daemon-User; (6) erst dann API-Key oder Browser-OAuth in VNC.
In Change-Reviews lohnt sich ein fester Nachweis-Block: Screenshot oder Log-Zeile mit provider=xai, Zeitstempel des erfolgreichen Pollings, whoami/$HOME aus derselben Session wie der LaunchAgent, plus ein Satz aus dem Kanal-Smoke-Test. So lassen sich „OAuth ok, Grok stumm“-Tickets von Multi-Modell-Fallback-Fehlern und von Codex-Namespace-Störungen trennen — ohne erneutes Durchspielen des gesamten Onboardings.
| Prüfpunkt | VNC-Nachweis | SSH-Nachweis | Pass |
|---|---|---|---|
| Version ≥ 5.20 | About / Konsole | openclaw --version | CLI = Gateway |
| Device-code Login | Terminal-URL lesbar (optional) | Auth-Liste xAI-Profil | Poll ok, kein Timeout |
| Default-Modell | Picker xai/grok-4.3 | models status | Primary = xai |
| Chat Round-Trip | Kanal zeigt Grok-Antwort | Gateway In/Outbound-Logs | Innerhalb SLA |
| Grok-Suche | Tool-Trace mit Zitaten | web_search-Zeilen | Retrieval ok |
| Doctor-Lint | Klartext-Keys prüfen | openclaw doctor | Keine blockierenden Auth-Fehler |
Auf gemieteten Remote-Macs halten VNCMac-Knoten device-code-Terminal, optional Safari für Browser-OAuth und Gateway-Konsole in einer grafischen Session — „Token im falschen HOME“ wird oft zu ~20 Minuten auditierbarer Abnahme. Windows-first-Teams: „SSH device-code + VNC Modell-Konsole“ als On-Call-Standard, Evidenzformat wie bei v2026.5.18 Subagent-Abnahme. Vor Auth-Vergleich echo $HOME und whoami in SSH und VNC drucken.
CLI, Gateway, erster Chat.
Lesen →x_search, /approve, ACP.
Lesen →Codex-Routenfix — Abgrenzung zu xAI.
Lesen →Primary, Fallback, Kosten.
Lesen →Für die Autorisierung ja: openclaw models auth login --provider xai --device-code druckt URL und Code; Abschluss in beliebigem Browser, während die Remote-Session pollt. VNC für Modell-Konsole oder Same-User-Gateway-Check.
Nein für Chat und gebündelte Grok-Suche bei erfolgreichem OAuth. TTS/STT und einige Medienpfade können XAI_API_KEY verlangen.
OpenClaw nutzt xAIs gemeinsamen OAuth-Client. Die Bezeichnung ist erwartbar — kein Installationsfehler.
Ist 127.0.0.1:56121 vom Browser-Host nicht erreichbar, auf device-code wechseln statt Port-Forward. Login als Gateway-Daemon-User ausführen.
openclaw models set xai/grok-4.3 und openclaw models status. OAuth speichert Credentials getrennt vom Default-Modell — Login mit falschem Primary wirkt wie Provider-Ausfall.
OpenClaw v2026.5.20 liefert endlich einen produktionsreifen xAI device-code OAuth-Pfad für Leasing-Macs: Grok mit SuperGrok/X Premium autorisieren, ohne localhost-Callbacks, dann Modell-Ref setzen und Round-Trip im Ticket belegen. Stabilität hängt weiter an Version-Alignment, gleichem User für Token-Speicher, explizitem Default-Modell und sauberer Trennung von xAI-Auth vs. Codex/Policy-Lärm. Eigene Hardware bringt Sleep, Egress-Filter und HOME-Mismatch bei geteilten Desktops; auf gemietetem Apple Silicon mit einem VNC-Desktop für device-code-Terminal und Gateway-Konsole schrumpft „OAuth ok, Grok stumm“ oft auf ~20 Minuten auditierbare Abnahme.
Für Abschnitt-6-Abnahme: VNCMac — Kaufseite, Verbindung im Hilfe-Center (SSH-VNC).