Grok ログイン三経路 · SSH/VNC 判断表 · 8段 Runbook · 20分検収
OpenClaw v2026.5.20(2026-05-21 リリース)は、xAI Grok の OAuth を「Gateway ローカルでのブラウザコールバック必須」からdevice-code リモート向け経路へ進めました。CLI が auth.x.ai にデバイスコードを要求し、端末に検証 URL と短いコードを表示します。手元のブラウザで SuperGrok / X Premium を承認すると、SSH 上のプロセスがポーリングしてトークンを取得し xai/oauth auth profile に保存します。リモート Mac をレンタルし主力機が Windows/Linux の場合、これまで 127.0.0.1:56121 コールバックが届かず詰まりがちでした。本稿は監査可能な運用として、三経路対照、SSH×VNC 判断表、8段 Runbook、チケット用四結論、FAQ を示します。先に10分ルートマップで CLI/Gateway を通してください。5.5→5.6 の OAuth 影響はv2026.5.6 Doctor/Codex OAuth、企業出口はアウトバウンドプロキシを並行証跡に。
5.20 以前、Grok を OpenClaw に載せる経路はだいたい二つでした。API Key(xAI コンソールで key を発行し、サブスク OAuth とは別系統)か、loopback ブラウザ OAuth(Gateway 同居マシンがブラウザを開き 127.0.0.1:56121 を listen する必要がある)です。リモート Mac をレンタルして SSH で入り、launchd が Gateway を動かす構成では、loopback OAuth は SSH ポート転送かVNC 上のブラウザ同意を強います。ユーザ A で入れて Gateway がユーザ B という事故も起きやすいです。
5.20 で追加された device-code は「誰がブラウザを開くか」と「誰が Gateway を動かすか」を分離します。リモートは トークンをポーリングし、人間は手元の PCで xAI 同意ページを完了すれば足ります。同版の Policy プラグイン(doctor lint 等)もありますが、まず Grok と会話できる状態を作るなら device-code がリース向けの主経路です。OAuth 後に Grok 検索や ACP まで見る場合はv2026.3.28 Grok 承認と ACPで第二段検収を行ってください。
バージョン下限:openclaw --version が 2026.5.20 以上であること。CLI と Gateway デーモンは同一ビルドに揃え、「CLI だけ device-code を知っている」混合状態を避けます。
アカウント資格:SuperGrok や X Premium など、xAI ポリシー上 OAuth API トークンを受け取れるアカウントが前提です。同意画面に Grok Build と出ても、OpenClaw が Grok Build アプリ必須という意味ではありません。
状態ディレクトリ:refresh トークンは OpenClaw 状態ディレクトリの auth profile に保存されます。リース機は高機密資産として扱い、公開クラウドストレージへ同期しないでください。
| 経路 | 典型コマンド | 向く場面 | リース Mac の痛み |
|---|---|---|---|
| API Key | XAI_API_KEY / SecretRef | API 課金済み、CI 無人 | サブスク OAuth と別管理、轮换 Runbook が要る |
| loopback OAuth | models auth login --provider xai --method oauth | 手元 MacBook、同一 GUI セッション | リモートは VNC か 56121 転送 |
| device-code(5.20+) | --provider xai --device-code | SSH リース Mac、Docker、VPS | 承認完了まで端末を閉じない、タイムアウト時は再 login |
リース Mac のデフォルト回答は device-code 優先です。同一ユーザの VNC デスクトップで loopback に慣れている場合のみブラウザ OAuth を選んでください。
| 検収項目 | SSH のみ | VNC 推奨 | 合格基準 |
|---|---|---|---|
| openclaw --version / doctor | 十分 | 任意 | ≥ 2026.5.20、provider ルーティング警告なし |
| xAI device-code login | 十分(URL+ショートコード、手元ブラウザ) | 任意 | auth profile 作成を確認 |
| loopback OAuth | 転送が必要 | 同一ユーザのデスクトップブラウザ | 56121 コールバック成功 |
| Gateway 18789 コンソール | curl 探針 | Network + モデル選択 | 既定が xai/* |
| launchd 同一ユーザ | ログ | ログインユーザ = Gateway ユーザ | launchd チェックリストと一致 |
| 企業プロキシ | 環境変数 | システム代理と CLI 一致 | auth.x.ai 到達 |
ヘッドレス Linux 対 macOS+VNCの対照表と併読すると、device-code により macOS リースノードの OAuth は「SSH 中心」に近づきますが、コンソール相互検証・キーチェーン・TCC は引き続き GUI が要ります。
凍結とバックアップ:バージョン・launchd ユーザを記録。新規なら10分ルートマップから。
≥ 2026.5.20 へ:openclaw update の後 openclaw gateway restart。
device-code ログイン:Gateway と同一ユーザで openclaw models auth login --provider xai --device-code。または openclaw onboard --auth-choice xai-device-code。
手元ブラウザで承認:検証 URL と短いコードをコピーし、SSH ポーリングを止めずに xAI で完了してください。
既定モデル:openclaw models set xai/grok-4.3(利用可能な xai/* に合わせる)。
doctor:xai/oauth profile を確認。401 は OAuth ルーティングから切り分けます。
smoke:Gateway 再起動後、短いプロンプトで応答とログ片をチケットに残します。
VNC 交叉(推奨):同一ユーザ VNC で 18789 コンソールを開き CLI と一致を確認。公開はHTTPS リバースプロキシ経由に。
openclaw --version openclaw update openclaw doctor openclaw models auth login --provider xai --device-code openclaw onboard --install-daemon --auth-choice xai-device-code openclaw models set xai/grok-4.3 openclaw gateway restart openclaw models list
| 確認項目 | VNC 証拠 | SSH 証拠 | 合格 |
|---|---|---|---|
| バージョン ≥ 5.20 | コンソール About | openclaw --version | CLI/Gateway 一致 |
| device-code | (任意)モデル UI | profile + 短句応答 | xai/* 応答 |
| OAuth refresh | 再起動後成功 | doctor 警告なし | 間欠 401 なし |
| 同一ユーザ | デスクトップユーザ | launchctl print | HOME ずれなし |
VNCMac のようなリース Apple Silicon では、Gateway と OAuth 状態を同一 VNC セッションに置くと、「SSH でログインできたのに Gateway が旧モデル」の口論を20分の監査可能検収に圧縮できます。
CLI・Gateway・初回対話。
読む →Codex ルーティングと fetch。
読む →OAuth 後の第二段。
読む →リース Mac 導入経路。
読む →メインフローは可能です。リモートが URL とショートコードを出し、手元ブラウザで承認、SSH がポーリングします。Gateway コンソールやキーチェーン確認には同一ユーザ VNC を推奨します。
models auth login --provider xai --device-code を再実行し、企業プロキシが auth.x.ai を遮断していないか確認してください。
複数 profile は可能ですが、既定ルーティングを変更チケットに明記し、CI の key と対話 OAuth を models 層で分けてください。
v2026.5.20 の xAI device-code OAuth が解くのは、リース Mac で最も面倒な localhost コールバック問題です。長期安定には、バージョン同源、auth profile 名前空間、明示的な既定モデル、CLI と Gateway の同一ユーザ証跡が依然として決定的です。device-code を「VNC 不要」と誤解すると、第二週の refresh やコンソール検証で転覆します。正解はSSH で OAuth 完了 + VNC で20分交叉検収です。
第6節と同型の検収用に VNCMac をご利用ください:購入ページでノードとプランを選び、接続は ヘルプセンター(SSH-VNC)をご確認ください。