Cohérence OAuth Codex · métadonnées lisibles · rejouages déterministes · dispatcheurs sans minuteurs orphelins
Les équipes qui ont glissé v2026.5.5 sans bruit ont vu des symptômes ressemblant à des plafonds de débit ou des jetons périmés, alors que la cause profonde était un désalignement entre attentes openai-codex/* et routes openai/*. OAuth n’est pas un simple endpoint : consentement navigateur, code d’appareil et chaîne de rafraîchissement doivent partager le même espace de noms documenté. Fusionner des gestionnaires « pour supprimer un doublon » sans carte des artefacts déplace silencieusement la découverte et le trousseau. v2026.5.6 est volontairement une release de récupération. Doctor annule la fusion erronée des routes OAuth Codex introduite en 5.5, fetch nettoie les métadonnées d’en-têtes pour que les échecs SDK et proxy racontent une seule histoire cohérente, Debug Proxy normalise les en-têtes pour le rejeu afin que les captures soient comparables au trafic Gateway réel, et Gateway purge les dispatcheurs de timeout web-fetch qui laissaient des minuteurs sur des téléchargements abandonnés. Ce guide s’adresse aux opérateurs sur Mac cloud loués où le VNC fait foi : taxonomie de la douleur, matrice de décision, runbook en sept étapes, phrases prêtes pour tickets, grille d’acceptation VNC et stratégie pour réduire le blast radius pendant la rotation des secrets. Croisez avec Doctor et mises à jour cassantes (4.5), proxy sortant et démarrage passerelle (4.27), répartition Edge-Node (5.1). Pour reclasser les symptômes : dix schémas d’erreurs ; pour le silence : Doctor, heartbeat, absence de réponse ; pour la messagerie : passerelle multicanal ; pour TLS et en-têtes au bord : reverse proxy HTTPS. Reliez enfin ces correctifs à vos métriques existantes : taux d’erreur OAuth par client, CPU après annulations fetch, et fréquence de faux diffs Debug Proxy. Sans cette corrélation, la récupération ressemble à une rustine isolée ; avec elle, elle devient une preuve reproductible pour votre comité de changement. Conservez les fenêtres de mesure au moins vingt-quatre heures pour inclure jobs nocturnes et tâches planifiées.
Chaque ticket doit lier reproduction et hypothèse d’espace de noms. SSH masque les feuilles de consentement ; les journaux Gateway dévorent l’attention.
Schizophrénie des routes OAuth : fusion trop agressive entre gestionnaires Codex et OpenAI génériques ; chemins device-code attendant openai-codex/* mais redirections vers openai/*. Les 401 intermittents passaient pour des jetons périmés au lieu d’un biais de routage—voir les motifs dans dix solutions.
Boue métadonnées fetch : échecs SDK et proxy dupliquaient des lignes hop-by-hop, nourrissant des fantômes CORS ou TLS.
Dérive des rejouages Debug Proxy : casse et fragments Content-Length polluaient les diffs capture vs live.
Fuites des dispatcheurs timeout : téléchargements web-fetch abandonnés laissaient des minuteurs, relevant la CPU sur nœuds launchd—proche des silences décrits dans l’article sans réponse.
5.6 ne remplace pas la gouvernance des changements ; il retire quatre pièges pour que les preuves Doctor et Gateway pointent à nouveau vers la même racine.
Pour le wiki interne : quel pool absorbe le choc OAuth et lequel protège les démos clients.
| Stratégie | Idéal pour | Gain principal | Risque principal |
|---|---|---|---|
| A. Épingler 5.5 + hotfix | CAB lents | Mouvement binaire minimal | Biais OAuth jusqu’à validation |
| B. Tout basculer en 5.6 | petites flottes avec snapshot | Doctor, fetch et dispatcheurs alignés | Discipline de version CLI/Gateway plus stricte temporairement |
| C. Gateway canary + workers stables | agences multi-mandats | Isolement OAuth / web-fetch | En-têtes cohérents au bord (reverse proxy) |
| D. Couche messagerie inchangée | Telegram/Teams dominants | Tester le transport sans toucher au routage modèle | Consentements toujours VNC (multicanal) |
Les espaces de noms OAuth valent des schémas SQL : la dérive silencieuse coûte plus qu’une fenêtre de migration nommée.
Par classe de nœud (Gateway, worker, poste opérateur) dans l’ordre. Si l’outbound est complexe, croisez l’étape trois avec le guide 4.27.
Geler les identifiants : chaînes de build OpenClaw, ports d’écoute, client_ids OAuth Codex vs OpenAI générique ; captures VNC du consentement réel.
Snapshot/export : volumes cloud avant mouvement de paquets ; hash plist/launchd pour rollback prouvable.
Appliquer 5.6 : CLI et Gateway dans la même fenêtre ; sinon la normalisation semble absente.
Doctor centré OAuth : journaux avant/après ; si alertes persistent, l’article 4.5 pour isoler d’autres mines de configuration.
Exercices fetch/proxy : 403 contrôlé en bac à sable, vérification de la disparition des lignes hop-by-hop dupliquées ; répétition via proxy d’entreprise.
Deux générations Debug Proxy : même appel synthétique sur capture 5.5 vs live 5.6 ; le diff doit être sémantique.
Soak web-fetch : parallélisme agressif, annulations, dix minutes CPU ; croiser avec heartbeat dans l’article silence.
# À coller au ticket après upgrade openclaw --version openclaw doctor --verbose | tee /tmp/openclaw-doctor-5.6.txt curl -sS -D - https://127.0.0.1:18789/health -o /dev/null
Note : couper SSH pendant un fetch long peut laisser launchd relancer un second processus plus vite que le scrollback. Utilisez la liste des processus VNC comme vérité.
Pour CAB/ITIL : des bornes, pas des impressions.
Avertissement : la réparation de routage ne remplace pas la rotation de secrets compromis.
SSH suffit pour tailer ; ces acceptances restent GUI-first.
| Vérification | Souvent SSH | Préférer VNC |
|---|---|---|
| Consentement Codex OAuth et device code | partiel | Oui pour redirections et MFA |
| Doctor interactif | tmux | Oui avec relecteurs non techniques |
| Rejeu Debug Proxy + Web Inspector | non | Oui, onglet Gateway à côté |
| launchd après soak web-fetch | log show | Moniteur d’activité pour la réactivité UI |
| Bannières multicanal | logs | Alignement multicanal |
Fetch bloqué : ouvrez VNC avant de tuer ; les feuilles d’auth proxy n’existent pas dans SSH.
Les correctifs OAuth déclenchent des « reconnectez partout ». Remplacez l’enthousiasme par une rotation segmentée.
Jetons par pool : canary d’abord ; démos isolées des assistants production.
Timeouts web-fetch courts au début : fuites de dispatcher plus visibles.
En-têtes ennuyeux au bord : retirer hop-by-hop expérimental ; voir reverse proxy HTTPS.
Documenter rollback : binaire revenu en arrière mais captures OAuth conservées pour cause racine.
Joindre les diffs : journaux Doctor au ticket, pas de folklore oral.
Règles transport/Doctor/Gateway déjà valides avant 5.6.
Alignez proxy et ordre de boot avant de blâmer OAuth.
Lire →Séparez mines de config et pannes réseau.
Lire →Re-étiquetez les symptômes après nettoyage fetch.
Lire →Une fusion a trop rapproché les gestionnaires Codex des chemins OpenAI génériques ; les artefacts attendaient openai-codex/* tandis que des redirections basculaient vers openai/*. Doctor 5.6 annule cette fusion.
Non : métadonnées dupliquées supprimées ; statuts HTTP et corrélations conservés.
Les rejouages doivent refléter ce que la passerelle a réellement vu ; sinon faux écarts.
Suivez votre politique de redémarrage progressif ; un redémarrage contrôlé vide l’état le plus clairement.
5.6 combat une télémétrie qui ment plus vite que les humains ne peuvent raisonner. La réparation des routes OAuth stoppe les narratifs « réseau capricieux ». Des métadonnées fetch lisibles et des rejouages Debug Proxy déterministes raccourcissent chaque post-mortem. L’hygiène des dispatcheurs enlève une fuite subtile sur Mac cloud toujours allumés.
La discipline de staging reste : snapshots, épingles, rollback documenté. Ce qui change : les preuves Doctor et Gateway coïncident avec ce qu’attend votre comité de changement. Archivez cette cohérence comme preuve reproductible, pas comme e-mail unique.
Pour répéter consentement OAuth, santé Gateway et bannières multicanal sur du matériel macOS réel via VNC, louez un Mac distant Apple Silicon chez VNCMac. Plans et régions sur la page de location Mac cloud ; connexions dans le centre d’aide avant d’ouvrir le port 18789 à toute l’équipe.