Une fois OpenClaw stable sur une machine, l’étape suivante consiste à raccorder Telegram, Feishu/Lark, Microsoft Teams ou WeCom au même Gateway. La série v2026.4.x resserre Gateway, CLI et descripteurs de canaux ; sous charge, les baux et pools d’identifiants deviennent pertinents. Ce guide est une checklist opérationnelle : cinq modes d’échec, une matrice risque / moment d’activation, huit étapes minimales, principes, coût métier et astreinte (la même rigueur qu’avec Xcode ou la CI : une seule variable à la fois), approfondissement sur latence webhook, idempotence et fan-out, une liste de validation VNC, FAQ et liens vers notre proxy Gateway, le dépannage sans réponse et Docker.
1) Cinq modes d’échec multicanal
- Explosion de configuration Sans modèle de base, webhooks, long polling, OAuth et jetons se mélangent et une modification casse plusieurs surfaces silencieusement.
- Gateway goulot CPU, ports ou TLS se traduisent par des pannes partielles « aléatoires » par canal.
- Identifiants et baux Deux workers avec le même jeton provoquent des tempêtes de reconnexion ; le pooling exige une identité d’instance explicite.
- Approbations et outils Les messages arrivent mais la politique bloque les appels d’outils : on croit à une panne de canal.
- Angles morts headless OAuth et dialogues système nécessitent une GUI ; le SSH seul cache la vraie pile d’erreurs.
2) Matrice de décision
| Canal | Intégration typique | Risque principal | Quand l’activer |
|---|---|---|---|
| Telegram | Bot API, webhook optionnel | Fuites, instances dupliquées | Premier smoke (boucle rapide) |
| Feishu / Lark | App entreprise, abonnements | Scopes, IP sortante, TLS | Après un premier canal stable ; bac à sable |
| Microsoft Teams | Azure Bot | Politique tenant, certificats | Quand l’identité Office est requise ; pas en parallèle avec Telegram |
| WeCom | Callbacks app maison | Atteignabilité, listes blanches | Avec notre article WeCom |
| Web Gateway | Console navigateur | Proxy inverse, timeouts WebSocket | Re-tester après chaque nouveau canal |
Exposez le Gateway sur Internet seulement après le guide proxy + TLS ; sinon vous poursuivrez des fantômes « connecté côté IM, mort côté agent » pendant des heures.
Les PME terminent souvent le HTTPS sur Nginx/Caddy avec un hôte stable, puis forward vers le Gateway local. Si TLS est dans OpenClaw, vérifiez Trousseau et alertes d’expiration en VNC. Alignez les horodatages des journaux sur la console IM (UTC ou fuseau d’équipe) pour distinguer backoff de retry et mauvaise config.
Le multicanal ressemble à une build incrémentale Xcode avec DerivedData partagé : un mauvais chemin d’en-tête empoisonne toutes les cibles. Même processus Gateway et même porte TLS : une règle proxy qui ne marche que pour Telegram fausse aussi Teams. D’où la colonne quand activer.
3) Huit étapes minimales
Épingler la version, sauvegarder
openclaw --version ; secrets hors Git ; doctor selon l’article v2026.4.5.
Smoke mono-canal
Envoi, réponse, pas d’ERROR ; pas de deuxième canal avant validation.
UI Gateway et réseau en VNC
IP sortante = allowlist IM ; capture d’écran « vert ».
Fragments de config par canal
Pas de fichier géant de secrets.
Sonde TLS/webhook externe
curl -vI depuis un VPS.
Deuxième canal : sandbox uniquement
Phrases de test fixes ; étiquette canal dans les logs.
Outils avec approbations
Article sur les approbations plugins.
Runbook : couper un canal en 2 minutes
Sans arrêter tout le Gateway.
Parcours : Feishu après Telegram
Si Telegram boucle proprement : groupe sandbox Feishu, URL de callback alignée sur le proxy, un message sonde. Si les événements entrent sans réponse d’agent, comparez heartbeat/thinking avec l’article « sans réponse » avant de retoucher les scopes. Avec baux : un seul propriétaire logique du jeton prod ; staging avec identifiants séparés pour éviter les 409.
4) Principes
token.txt sur le bureau distant.- Preuve écrite de la première boucle réussie
- Sortie de sonde TLS externe archivée
- Étapes de désactivation par canal documentées
5) Métier & coûts
Le multicanal n’est pas une somme linéaire de webhooks. Chaque surface IM publique élargit le rayon d’astreinte. Trois personnes × 15 minutes après une mauvaise config, c’est déjà des heures d’ingénierie, sans compter la perception SLA. Un smoke mono-canal documenté tient souvent la première validation dans une fenêtre 30–60 minutes.
Ajouter un canal = mini-release : propriétaire, point de rollback, groupe gris. Changer TLS, monter OpenClaw et activer deux canaux la même nuit rend l’analyse de cause impossible — comme un seul drapeau de build à la fois dans Xcode/CI. Bénéfice : cadence prévisible et Runbook où l’astreinte junior peut désactiver un canal sans tout couper.
6) Technique : webhooks, retries, fan-out
Sortie, TLS, NAT conteneur et files internes coûtent chacun des dizaines à centaines de ms. Les plateformes imposent timeouts durs et retries. Les effets non idempotents montrent le même message_id deux fois — tempête de retries. Clés d’idempotence ou fenêtres de dédup côté app ; documenter backoff 429/503 et pause manuelle.
Tableau ci-dessous : planification capacité / observabilité, pas une garantie de performance OpenClaw.
| Dimension | Un canal | Trois canaux (illustratif) |
|---|---|---|
| Phrases de sonde | Une base | ≥3, textes distincts |
| Filtres journaux | Optionnel | Labels canal obligatoires |
| TLS | Proxy inverse | Un hostname, une pile de certificats |
| Pic callbacks | QPS de base B | ≈ B × groupes actifs pondérés (mesurer) |
| Astreinte | Coupe simple | Séparer « livraison plateforme » et « exécution agent » |
Docker : en VNC, chaîne hôte → conteneur → Gateway. curl vert dans le conteneur mais vendeur inaccessible depuis l’extérieur : groupes de sécurité. D’abord la sonde outside-in de l’article proxy Gateway.
Workers dupliqués : même jeton, boucles de reconnexion, pertes de messages « aléatoires ».
curl -vI https://your-gateway.example.com/health
# 200, chaîne valide, pas de redirections qui cassent le POST7) Liste VNC
- Un processus Gateway propriétaire ; pas de doublons launchd/Compose sur le port
- Console web joignable et saine
- Une boucle envoi/réponse par canal
- Pas de reconnexion infinie dans les logs
- Secrets hors Git et archives bureau ; chemins SecretRef vérifiés
- Chemin le plus rapide pour désactiver un canal documenté
8) FAQ, liens, conclusion
Q : Pourquoi citer v2026.4.12 ? La branche 4.x bouge vite ; référence : openclaw doctor sur votre machine. Ici : ordre et validation.
Q : Docker vs bare metal ? Espaces de noms et volumes différents ; guide Docker puis publication des ports depuis l’hôte en VNC.
Liens : checklist proxy HTTPS Gateway, sans réponse, Docker Compose officiel, upgrade v2026.4.5, approbations plugin recherche web.
Conclusion
Les macOS imbriqués sous Windows/Linux coûtent en graphisme, USB et horloge ; le SSH seul transforme OAuth et permissions en « réseau cassé ». Un Mac distant physique avec VNC aligne navigateur, shell et console. Pour un pic court sans acheter du matériel, VNCMac sur silicium Apple réel bat souvent la maintenance d’images fragiles. Collez la liste au wiki ; après chaque mineur OpenClaw, refaites les quatre premières étapes.