@tencent-weixin/openclaw-weixin · matrice de versions · déploiement progressif · runbook en 8 étapes
Tencent ClawBot relie WeChat personnel à OpenClaw via le plugin canal officiel @tencent-weixin/openclaw-weixin (ID canal openclaw-weixin) — pas un fork du cœur OpenClaw. Les équipes qui font tourner un Mac distant loué comme Gateway échouent rarement sur le modèle LLM : elles butent sur versions hôte/plugin, QR au mauvais utilisateur, sessions DM mélangées ou l’absence de l’UI ClawBot en déploiement progressif. Ce guide fournit une ligne d’exploitation auditable : frontière compte personnel (orthogonale à WeCom OpenClaw), une matrice SSH vs VNC, un runbook en 8 étapes, quatre faits pour ticket et une FAQ. Commencez par la route 10 minutes pour CLI et Gateway ; si le port 18789 est exposé, lisez en parallèle reverse proxy HTTPS afin de ne pas publier répertoires de jetons et ports bruts ensemble.
Habitué à Telegram ou Discord, on sous-estime WeChat : ici priment build hôte, médium de login, isolation de session et déploiement progressif produit plutôt que la qualité du prompt. Les post-mortems reviennent sur six motifs — numérotés pour les tickets de changement.
Double ligne de version : openclaw-weixin 2.x (npm latest) exige OpenClaw ≥ 2026.3.22. Un hôte plus ancien qui force latest signale incompatibilité hôte et refuse le plugin.
QR sur la machine Gateway : openclaw channels login --channel openclaw-weixin écrit les jetons dans le state du Gateway actif. Une session SSH avec un autre $HOME produit le classique : « téléphone OK, probe vide ».
Plusieurs comptes WeChat : chaque login ajoute une entrée. Sans session.dmScope, les numéros partagent le même seau DM — fuite de contexte logique, pas une faille WeChat.
DM d’abord, pas de groupes : les métadonnées du plugin ne déclarent pas le chat de groupe. Valider avec @ dans un groupe échoue par conception.
UI ClawBot vs canal : l’entrée ClawBot dans les réglages WeChat déploie côté client (souvent 8.0.70+). Sans UI, openclaw-weixin peut tourner par QR — notez les deux séparément dans le ticket.
Pas WeCom : WeChat personnel n’utilise ni credentials d’app corp ni audit organisationnel. Voir le guide WeCom pour l’autre plan de conformité.
Les équipes « Windows d’abord » devraient graver cette liste dans l’onboarding : le Mac distant n’est pas « du Linux avec GUI », c’est l’endroit où les jetons WeChat résident et où le VNC aligne l’utilisateur macOS sur launchd.
La matrice ci-dessous est volontairement grossière : elle n remplace pas le runbook, elle évite le « SSH suffit ». En pratique, gagne presque toujours le duo : paquets et logs en SSH, QR et console en VNC sous l’utilisateur du démon.
| Acceptation | SSH seul | VNC conseillé | Critère OK |
|---|---|---|---|
| openclaw --version / doctor | suffisant | optionnel | hôte ≥ 2026.3.22 pour 2.x |
| npx -y @tencent-weixin/openclaw-weixin-cli install | suffisant | optionnel | bon dist-tag, pas de conflit |
| QR channels login | QR ASCII fragile | terminal bureau + téléphone | probe : connected |
| ClawBot progressif | pas d’UI téléphone | appareil + version notée | progressif ou « non » documenté |
| allowlist pairing | CLI approve | DM test expéditeur inconnu | bloqué jusqu’à approve |
| Gateway 18789 / proxy | curl localhost | Network navigateur | loopback ou TLS comme setup pairing |
Onboarding WeChat minimal : SSH pour install et logs, VNC pour login et console sous le même utilisateur — pas l’un ou l’autre.
Après upgrade OpenClaw, le registre de plugins peut sembler « froid ». Commencez par réparation registre v2026.4.25 pour aligner CLI et Gateway, puis installez openclaw-weixin — sinon illusion « plugin enabled, vieux processus Gateway ».
Chaque étape est copiable dans un ticket de changement. Respectez l’ordre : version avant QR, QR avant tests pairing, pairing avant charge DM production.
Gel et sauvegarde : export config et state OpenClaw ; noter openclaw --version, build Gateway, utilisateur launchd. Terrain vierge : parcours 10 min.
Hôte ≥ 2026.3.22 : sinon upgrade OpenClaw ou l’installateur choisit compat — pas de @latest au hasard.
Installateur (recommandé) : npx -y @tencent-weixin/openclaw-weixin-cli install lit la version hôte, pose le dist-tag, guide QR et redémarrage.
Manuel (reproductible) : openclaw plugins install "@tencent-weixin/openclaw-weixin", puis openclaw config set plugins.entries.openclaw-weixin.enabled true. Sous 2026.3.22, ne forcez pas latest.
Multi-compte : seconde ligne ? openclaw config set session.dmScope per-account-channel-peer — sépare compte, canal et pair.
Login sur l’hôte Gateway : en tant que même utilisateur que launchd, lancez openclaw channels login --channel openclaw-weixin en VNC ; QR et page de confirmation lisibles. Jetons locaux sensibles.
Contrôle d’accès : expéditeurs inconnus via pairing : openclaw pairing list openclaw-weixin, openclaw pairing approve openclaw-weixin <CODE>. « Tout le monde déclenche l’agent » n’est pas un défaut prod.
Restart et probe : openclaw gateway restart, puis openclaw channels status --probe. DM courte depuis contact approuvé ; extrait de log dans le ticket. Boucles de restart : upgrade par paire OpenClaw + plugin (correctifs sidecar/iLink récents).
openclaw --version openclaw doctor npx -y @tencent-weixin/openclaw-weixin-cli install openclaw plugins install "@tencent-weixin/openclaw-weixin" openclaw config set plugins.entries.openclaw-weixin.enabled true openclaw config set session.dmScope per-account-channel-peer openclaw channels login --channel openclaw-weixin openclaw gateway restart openclaw channels status --probe openclaw plugins list
ClawBot sur téléphone : si le déploiement progressif est actif, liez ClawBot dans les réglages WeChat selon le produit — le Gateway doit avoir openclaw-weixin connected. Sans UI, la chaîne auditable reste QR + pairing + probe, sans marquer le serveur « down » à tort.
Le sidecar iLink Tencent peut provoquer des boucles de restart Gateway sur d’anciennes combinaisons. Stabilisez après upgrade couplé ; filtrez les logs openclaw-weixin, ilink, pairing. « Canal a de l’inbound, agent muet » → triage sans réponse.
Le Mac Gateway stocke des jetons WeChat en clair dans le state. Traitez le nœud loué comme actif de niveau 0 — qu’il soit chez vous ou chez un fournisseur de Mac cloud.
Sauvegarde : répertoires state dans les jobs backup seulement après ACL ; pas de sync vers dossiers cloud publics.
Pairing par défaut refus : expéditeurs non approuvés ne déclenchent pas shell/outils fichier ; auditez pairing list.
Exposition : voir checklist proxy HTTPS — port 18789 pas sur Internet sans auth.
Contexte utilisateur : utilisateur SSH ≠ VNC ≠ launchd = panne fréquente. Fixez un utilisateur avec checklist launchd.
Déploiement progressif : UI ClawBot et plugin canal évoluent séparément — deux champs dans le change record.
| Point | VNC | SSH | OK si |
|---|---|---|---|
| plugin enabled | liste canaux weixin | plugins list | enabled, pas d’erreur hôte |
| QR login | QR net, téléphone OK | nouveau compte state | probe connected |
| réponse DM | réponse client | logs inbound/outbound | smoke test < SLA |
| pairing | DM étranger bloqué | liste pending | réponse après approve |
| ClawBot | capture réglages | N/A | progressif documenté |
Sur un nœud VNCMac, Gateway, terminal QR et éventuellement 18789 partagent une session graphique — fin des énigmes HOME, acceptation en ~20 minutes. Équipes Windows : calque « SSH installe, VNC scanne, téléphone note le progressif », comme pairing v2026.4.25.
Mac partagé entre développeurs : bloquez les créneaux de scan au calendrier et notez l’utilisateur macOS dans le journal de passation — sinon pairing et tests se mélangent et l’acceptation n’est plus reproductible.
CLI, Gateway, premier chat.
Lire →Proxy et surface minimale.
Lire →Identifiants organisation.
Lire →Auth IM et console.
Lire →Déploiement progressif côté client ; version WeChat et compte dans le ticket. Acceptation via QR openclaw-weixin + probe.
Non. Upgrade ou npx -y @tencent-weixin/openclaw-weixin-cli install pour compat/legacy.
Non. @tencent-weixin/openclaw-weixin = compte perso ; WeCom = apps et callbacks distincts.
Groupes non déclarés. Testez en DM avec contact approuvé.
Possible, mais VNC sous utilisateur Gateway recommandé ; réglages ClawBot sur téléphone physique.
Tencent ClawBot et openclaw-weixin abaissent la barrière WeChat dans la stack agent — la stabilité vient de la discipline de versions, du même utilisateur pour scan et démon, de per-account-channel-peer, des défauts pairing et de l’acceptation DM d’abord sans groupes. Matériel maison : veille, dérive IP, bureaux partagés ; Mac Apple Silicon loué avec un bureau VNC pour Gateway et QR ramène souvent « installé mais pas de DM » de heures à ~20 minutes d’acceptation auditable.
Pour l’acceptation section 6 : VNCMac — page d’achat Mac cloud, connexion dans aide bureau à distance (SSH-VNC).