OAuth-Namensräume · lesbare SDK-/Proxyfehler · deterministische Replays · Dispatcher ohne Waisen-Timer
Wer v2026.5.5 ohne großes Brimborium ausrollte, sah Symptome, die wie Rate-Limits oder „alte Tokens“ wirkten, in Wahrheit aber von einer Schiefstellung zwischen openai-codex/*-Erwartungen und openai/*-Routen herrührten. OAuth ist kein reines API-Thema: Browserzustimmung, Device-Codes und Refresh-Ketten müssen im selben Namensraum landen. Ein Merge, der nur als „Duplikatentfernung“ verkauft wird, verschiebt still Discovery-Dokumente und Keychain-Artefakte auseinander. v2026.5.6 ist bewusst ein Recovery-Release. Doctor macht den fehlerhaften Codex-OAuth-Merge aus 5.5 rückgängig, Fetch räumt Header-Metadaten auf, damit SDK- und Forward-Proxy-Fehler eine einzige kohärente Geschichte erzählen, Debug-Proxy normalisiert Header für Replays, sodass Mitschnitte mit Live-Gateway-Verkehr vergleichbar werden, und das Gateway bereinigt Web-Fetch-Timeout-Dispatcher, die sonst Waisen-Timer an abgebrochenen Downloads hängen lassen. Dieser Leitfaden richtet sich an Teams auf gemieteten Apple-Silicon-Remote-Macs, die VNC als autoritative Konsole nutzen: Schmerz-Taxonomie, Entscheidungsmatrix, siebenstufiges Runbook, ticketfertige Sätze, VNC-Abnahmetabelle und Strategie zum Verkleinern der Blast-Radius während Credential-Rotation. Ergänzend lesen: Doctor und Breaking-Upgrades (4.5), Outbound-Proxy und Gateway-Start (4.27), Edge-Node-Lastverteilung (5.1). Für Symptom-Umklassifizierung eignet sich zehn häufige Fehlerketten; für stille Degradation Doctor, Heartbeat, Logs ohne Antwort; für Messenger-Oberflächen Multichannel-Gateway-Checkliste; für TLS und Header am Rand Nginx/HTTPS-Leitfaden. Ohne diese Disziplin wirkt jedes Recovery wie ein punktuelles Wunder, obwohl es nur strukturelle Hygiene ist.
Schreiben Sie jedes Ticket mit Namensraum-Hypothese und Reproduktionsschritten. SSH blendet Browserzustimmung aus; Gateway-Logs fressen menschliche Aufmerksamkeit.
OAuth-Routen-Schizophrenie: Codex-spezifische und generische OpenAI-Handler wurden zu aggressiv zusammengeführt. Device-Code-Pfade erwarteten openai-codex/*-Metadaten, während Redirects nach openai/* wiesen. Intermittierende 401er wurden fälschlich als Token-Alter interpretiert, statt als Routing-Schiefstand—früher passend zu Mustern in den zehn Fehlerketten.
Fetch-Metadaten-Schlamm: SDK- und Forward-Proxy-Fehler duplizierten hop-by-hop-Zeilen und erzeugten CORS- oder Zertifikats-Gespenster, die Stunden kosteten.
Replay-Drift im Debug-Proxy: Groß-/Kleinschreibung und Content-Length-Fragmente verunreinigten Diffs zwischen Mitschnitt und Live-Lauf.
Timeout-Dispatcher-Lecks: Abgebrochene Web-Fetch-Läufe hinterließen Timer, die auf Dauerläufern CPU leicht anhoben—verwandt mit Stillstandsmustern aus dem Heartbeat-Artikel.
5.6 ersetzt keine Change-Board-Kultur; es entfernt vier Fußangeln, damit Doctor- und Gateway-Evidenz wieder dieselbe Wurzel treffen.
Zusätzlicher Praxiswert entsteht, wenn Sie diese vier Fußangeln mit bestehenden Betriebsmetriken verknüpfen: CPU-Leerlaufkurven nach abgebrochenen Downloads, OAuth-Fehlerquoten pro Client-ID und die Häufigkeit von Replay-Diffs ohne inhaltliche Änderung. Ohne diese Korrelation bleibt Recovery ein punktuelles Update; mit Korrelation wird es ein nachvollziehbares Experiment, das Ihr nächstes CAB schneller durchlässt. Dokumentieren Sie deshalb nicht nur Versionen, sondern auch die Messfenster vor und nach dem Deployment, damit Finance und Engineering dieselbe Sprache sprechen. Halten Sie die Messfenster mindestens 24 Stunden offen, damit Nachtjobs und Cron-Trigger dieselbe Evidenz liefern wie Tageslicht-Tests.
Für das interne Wiki. Es geht nicht um „immer neueste Version“, sondern welcher Pool OAuth-Chaos aufnimmt und welcher Kundendemos schützt.
| Strategie | Ideal für | Hauptgewinn | Haupt Risiko |
|---|---|---|---|
| A. 5.5 pinnen + Hotfix-Schicht | Regulierte CAB-Kunden | Minimale Binärbewegung | OAuth-Schiefstand bleibt bis CAB-Freigabe |
| B. Alle Knoten auf 5.6 | Kleine Flotten mit Snapshot-Rollback | Doctor-, Fetch- und Dispatcher-Fixes gemeinsam | Temporär strengere CLI-Gateway-Versionsdisziplin |
| C. Canary-Gateway + stabile Worker | Agenturen mit parallelen Mandanten | Isolation von OAuth und Web-Fetch | Header müssen am Rand konsistent sein (Nginx-Leitfaden) |
| D. Messaging-Schicht unverändert | Teams mit Telegram/Teams-Fokus | Transport prüfen ohne Modellrouting | Zustimmungsdialoge bleiben VNC-pflichtig (Multichannel) |
OAuth-Namensräume sind Schemas: stiller Drift ist teurer als ein benannter Migrationsfenster.
Pro Knotenklasse (Gateway, Worker, Operator-Notebook) in Reihenfolge. Bei komplexem Outbound-Schritt drei mit der Matrix im 4.27-Leitfaden abgleichen.
Identifikatoren einfrieren: OpenClaw-Buildstrings, Listener-Ports, getrennte OAuth-Client-IDs für Codex vs. generisches OpenAI; Screenshots der Zustimmungsoberfläche aus der VNC-Session.
Snapshot/Export: Volumen-Snapshots vor Paketbewegung; launchd- und plist-Hashes für beweisbaren Rollback.
5.6 anwenden: CLI und Gateway im selben Fenster; sonst wirkt Header-Normalisierung „nicht aktiv“, weil nur eine Seite neu ist.
Doctor OAuth-fokussiert: Logs vorher/nachher. Wenn weiter Schema-Themen auftauchen, 4.5-Artikel zur Differenzierung nutzen.
Kontrollierte Fetch-/Proxy-Fehler: Erzwungener 403 in Sandbox, Prüfung auf wegfallende doppelte hop-by-hop-Zeilen; Wiederholung über Firmenproxy.
Zwei Debug-Proxy-Generationen: identischer synthetischer Aufruf auf 5.5-Mitschnitt vs. 5.6-Live; Diff soll semantisch sein.
Web-Fetch-Soak: parallele Downloads mit aggressiven Timeouts, halb abbrechen, zehn Minuten CPU beobachten; ergänzend Heartbeat aus dem Silent-Failure-Artikel.
# Für das Change-Ticket nach Upgrade openclaw --version openclaw doctor --verbose | tee /tmp/openclaw-doctor-5.6.txt curl -sS -D - https://127.0.0.1:18789/health -o /dev/null
Hinweis: Wenn Sie SSH während langer Fetches beenden, kann launchd schneller einen zweiten Prozess starten als Ihr Scrollback aktualisiert. VNC-Prozessliste als Quelle der Wahrheit nutzen.
Für CAB/ITIL: Grenzen statt Stimmungsbilder.
Warnung: Routing-Reparatur ersetzt keine Rotation kompromittierter Secrets.
SSH reicht fürs Tailen; diese Abnahmen bleiben GUI-first.
| Prüfung | SSH oft genug | VNC bevorzugt |
|---|---|---|
| Codex-OAuth-Zustimmung und Device-Code | teilweise | Ja für Redirects und MFA |
| Doctor interaktiv | tmux | Ja bei Reviews mit Fachfremden |
| Debug-Proxy-Replay plus Web Inspector | nein | Ja, Gateway-Tab parallel |
| launchd nach Web-Fetch-Soak | log show | Aktivitätsanzeige für UI-Responsiveness |
| Multichannel-Banner | Logs | Abgleich mit Multichannel-Checkliste |
Bei „hängendem“ Fetch zuerst VNC öffnen: Proxy-Auth-Dialoge fehlen in SSH.
OAuth-Fixes triggern „überall neu anmelden“. Ersetzen Sie Enthusiasmus durch segmentierte Rotation.
Tokens pro Pool: Canary zuerst; Demo getrennt von Produktionsassistenten.
Kurze Web-Fetch-Timeouts anfangs: Leckagen schneller sichtbar.
Langweilige Edge-Header: experimentelle hop-by-hop am Rand strippen; siehe Nginx/HTTPS.
Rollback dokumentieren: Binär zurück, OAuth-Captures behalten zur Ursachenklärung.
Diffs anhängen: Doctor-Logs an Tickets, kein Folklore-Übergabe.
Transport-, Doctor- und Gateway-Regeln gelten schon vor 5.6.
OAuth erst nach Proxy- und Boot-Reihenfolge anfassen.
Lesen →Schema-Landminen von Netzproblemen trennen.
Lesen →Symptome nach Fetch-Bereinigung neu labeln.
Lesen →Ein Merge vermischte Codex-spezifische Handler mit generischen OpenAI-Pfaden; Artefakte erwarteten openai-codex/*, Redirects wiesen teils nach openai/*. Doctor 5.6 setzt das zurück.
Nein. Doppelte und irreführende Metadaten verschwinden; Statuscodes und Korrelation bleiben.
Replays müssen dem Gateway-Sichtbarkeit entsprechen; sonst entstehen Scheinregressionen.
Folgen Sie Ihrer Rolling-Restart-Policy; kontrollierter Neustart leert verwaiste Dispatcher-Zustände am klarsten.
5.6 ist ein Release gegen Telemetrie, die schneller lügt als Menschen denken können. Die OAuth-Routen-Reparatur stoppt falsche Netzwerk-Narrative. Aufgeräumte Fetch-Metadaten und deterministische Debug-Proxy-Replays verkürzen Postmortems. Dispatcher-Hygiene entfernt eine subtile Ressourcen-Leck-Klasse auf Dauerläufern in der Cloud.
Staging-Disziplin bleibt: Snapshots, Pins, dokumentierter Rollback. Neu ist die Übereinstimmung von Doctor- und Gateway-Beweisen mit CAB-Erwartung. Speichern Sie diese Übereinstimmung als wiederholbaren Nachweis, nicht als einmalige E-Mail.
Um OAuth, Gateway-Health und Multichannel-Banner auf echter macOS-Hardware unter VNC zu üben, mieten Sie einen Apple-Silicon-Remote-Mac bei VNCMac. Pläne und Regionen finden Sie auf der Miet- und Preisseite; Verbindungshinweise im Hilfe-Center, bevor Sie Port 18789 teamweit öffnen.