OpenClaw v2026.4.5 (publiée vers le 2026-04-06) est une étape importante pour les opérateurs : elle supprime ou migre de nombreux alias publics hérités vers des chemins canoniques et une sémantique explicite enabled, livre plusieurs correctifs de durcissement sécurité (listes d’outils réservées aux plugins, mutations /allowlist réservées au propriétaire, comportement fail-closed si les hooks before_tool_call plantent, blocage plus précoce de certaines classes de redirection SSRF navigateur), et affine doctor pour que les configs talk normalisées se comparent par structure plutôt que par une sérialisation fragile — ce qui réduit le bruit des « corrections » sans effet réel. Sur un Mac loué ou colocalisé, l’échec typique n’est pas « npm n’a pas téléchargé » mais « ma config contient encore des clés qui ont cessé de fonctionner silencieusement il y a trois mineures ». Ce guide propose une séquence reproductible : sauvegarde → mise à jour du paquet ou de l’image → openclaw doctor → openclaw doctor --fix → démarrage du Gateway → vérification de l’interface de contrôle dans un bureau VNC. Il complète les articles de migration antérieurs en ciblant les notes Breaking et sécurité de v2026.4.5, tout en renvoyant vers Docker, launchd, SecretRef, le MCP navigateur et le diagnostic « pas de réponse » ailleurs sur ce site.
1) Points de friction : mises à jour distantes et dérive silencieuse de la config
- Durée de vie des tutoriels : extraits d’issues, Discord ou billets liés à des mineures précises ; ils peuvent encore parser mais cesser d’influencer le runtime après un resserrement de schéma.
- Validation tardive : le Gateway peut ne planter qu’aux contrôles au démarrage ; sous launchd, cela ressemble à une tempête de redémarrages si vous ne suivez pas les journaux.
- Chaîne d’outils fragmentée : Node Homebrew, shims nvm et préfixes npm globaux ne s’accordent pas sur le binaire
openclawréellement exécuté ; v2026.4.5 insiste sur « le npm qui possède le préfixe ». - Lacunes GUI en SSH : OAuth, écrans de consentement et handoffs navigateur local exigent un bureau ; la VNC réunit terminal et navigateur.
- Décalage conteneur : ne changer que le tag d’image alors que le volume de config encode encore d’anciennes formes produit des résultats doctor contradictoires hôte vs conteneur.
- Défauts sécurité plus stricts : ce qui « marchait parce que c’était permissif » peut désormais échouer fermé — c’est attendu ; il faut resserrer la politique, pas désactiver aveuglément les garde-fous.
2) Matrice de décision : npm, Docker, launchd et multi-workspace
| Topologie | Où mettre à jour | Risque principal | Pratique 2026 |
|---|---|---|---|
| npm global / installateur | Shell hôte | Désalignement de préfixe | Vérifier avec which openclaw + openclaw --version ; puis doctor |
| Docker Compose | Digest d’image + volume | CLI en deux cerveaux | Exécuter doctor dans le contexte conteneur documenté ; recycler la stack |
| launchd | Env plist + WorkingDirectory | PATH sans nvm | Chemins binaires absolus ou toolchain unique ; bootout/bootstrap après édition |
| Plusieurs workspaces | Plusieurs racines JSON | Ne corriger qu’un arbre | Tableur des chemins ; coupler avec l’article d’isolation multi-projets |
3) Surfaces breaking et sécurité en v2026.4.5
Breaking : canonicalisation
La version supprime des alias hérités tels que talk.voiceId/talk.apiKey, agents.*.sandbox.perSession, browser.ssrfPolicy.allowPrivateNetwork, hooks.internal.handlers, et bascule les toggles allow canal/groupe/salle vers des emplacements canoniques avec enabled, tout en conservant la compatibilité au chargement et le support de migration openclaw doctor --fix. Préférez la migration automatisée à l’édition manuelle de JSON imbriqué.
Sécurité et plugins
Attendez-vous à une application plus stricte des listes d’outils plugins, des commandes allowlist privilégiées, des échecs de hooks et des défenses SSRF navigateur. Après mise à jour, exécutez une matrice plugin minimale : un appel d’outil sûr, un message canal, un chemin refusé pour confirmer que les politiques se comportent comme prévu.
Doctor et fournisseurs
Les notes couvrent aussi le nettoyage des profils obsolètes anthropic:claude-cli et l’amélioration des comparaisons de normalisation talk — utile si vous voyiez un bruit infini de « fixed talk.provider » sans diff réelle.
Extrait de sauvegarde
cp ~/.openclaw/openclaw.json ~/backups/openclaw-$(date +%Y%m%d).json tar czf ~/backups/openclaw-workspace-$(date +%Y%m%d).tar.gz ~/.openclaw/workspace 2>/dev/null || true
4) Exécution en sept étapes : de la sauvegarde à la vérification
Geler le périmètre et sauvegarder
Config, stratégie des secrets, workspace ; noter les versions Node et OpenClaw.
Passer en v2026.4.5 par un seul canal
npm global, script d’installation ou tag Docker — éviter le mélange.
Lancer openclaw doctor (sans fix pour l’instant)
Conserver la sortie complète pour votre système de tickets.
Appliquer openclaw doctor --fix
Relancer doctor jusqu’à ce que les éléments Breaking soient résolus ; aligner les flux SecretRef si vous les utilisez.
Démarrer le Gateway et lire les journaux
Confirmer écouteurs, fournisseurs, plugins ; mapper le port 18789 si conteneurisé.
Vérifier l’interface de contrôle en VNC
Terminer boucles de consentement navigateur ou OAuth ; croiser avec les guides MCP navigateur et « pas de réponse » si les symptômes persistent.
Test de fumée et plan de retour arrière
Chat minimal + invocation d’outil ; si cassé, restaurer l’archive de sauvegarde et noter le diff.
5) Faits de référence et commandes
doctor plutôt qu’à d’anciens extraits communautaires quand les schémas bougent.- Sorties doctor avant/après archivées
- Chaque répertoire workspace migré
- Test de fumée outillage réussi
- Archive de retour arrière testée pour restauration
6) FAQ, articles liés, conclusion
Q : Ignorer doctor et éditer le JSON à la main ? Possible mais risqué pour les schémas imbriqués.
Q : Canaux silencieux après mise à jour ? Vérifier l’héritage d’environnement launchd, puis les billets « pas de réponse » et réseau.
À lire aussi : erreurs fréquentes (10 correctifs), checklist launchd, guide officiel Docker Compose, audit SecretRef, MCP navigateur, diagnostic pas de réponse.
Conclusion : les mises à jour reconstruisent la chaîne de preuve de la config
Sur Mac distants partagés, une migration partielle bloque tous ceux qui dépendent de ce Gateway. Utilisez la VNC pour aligner sortie CLI, vérification navigateur et éditions de fichiers dans une même session. Si vous avez besoin de capacité macOS sans acheter du matériel pour un court cycle, VNCMac et cette bibliothèque de checklists vont en général plus vite qu’un prêt de machine ad hoc.