Codex OAuth ルート巻き戻し · Fetch メタデータ整理 · Debug Proxy リプレイ整合 · web-fetch タイムアウト掃除
v2026.5.5 を静かに載せ替えたチームが直面したのは、表向き「レート制限」「古いトークン」に見えるが、実際は openai-codex/* と openai/* のルーティング期待値が食い違うという地味で致命傷になり得る類の不具合でした。OAuth はブラウザ同意・デバイスコード・リフレッシュの三拍子が揃って初めて静かに回る仕組みであり、ハンドラ統合を「重複排除」とだけ読むと、トークン保管庫とディスカバリ文書のズレを後から埋められません。v2026.5.6 は意図的に回復系です。Doctor は 5.5 で混入した Codex OAuth の誤マージを巻き戻し、Fetch は SDK とフォワードプロキシ失敗時のヘッダメタデータを整理してログが読める形へ戻し、Debug Proxy は リプレイ比較のためのヘッダ正規化で録画と実測の差分ノイズを削り、Gateway は web-fetch のタイムアウト・ディスパッチャ掃除で打ち切られたダウンロードにぶら下がったタイマーを捨てます。本稿は レンタル Mac を VNC の正として運用するオペレータ向けに、痛みの分類、二択ではない意思決定表、七段の現場ランブック、変更管理へ貼れる短文、VNC 前提の検証表、そして資格情報ローテ最中の 爆発半径を縮める戦略をまとめました。関連して 4.5 の Doctor と破壊的アップグレード稿、4.27 の外向きプロキシと起動順の受入稿、5.1 の Edge ノード負荷分散稿 を読み返すと、今回の修正が「輸送層の衛生化」であって設定責任を消すものではないことが腹落ちします。加えて 典型エラー十の手当 は症状ラベルが整理されたあと再分類に使え、無応答とハートビートの稿 はタイマー系の劣化を疑うときの安全網です。マルチチャネル運用では 複数チャネル Gateway の二十分受入 と併読し、HTTPS 終端では リバースプロキシ稿 のヘッダ単調化を守ってください。
チケットには再現手順と名前空間仮説をセットで書く。SSH だけのセッションではブラウザの同意シートが見えず、Gateway の巨大ログは人間の帯域を圧迫します。
OAuth ルートの二重人格:Codex 専用と汎用 OpenAI のハンドラを近づけすぎた結果、デバイスコード経路が openai-codex/* のメタデータを期待しながら openai/* へ寄せられる瞬間が生じました。断続的な 401 はトークン寿命ではなく経路のねじれであることが多く、従来は 典型エラー十の手当 の分類表で「古い鍵」と誤診されがちでした。
Fetch メタデータの泥沼:SDK 失敗とフォワードプロキシ失敗が同じスタックトレースに似たヘッダダンプを二重に吐き、CORS や証明書と勘違いされる時間を増やしました。
Debug Proxy リプレイの漂い:大小文字や Content-Length の残骸が録画と実測の diff を汚し、インシデントのたびに「新しい別バグ」に見えるノイズを生みました。
タイムアウト・ディスパッチャの取り残し:打ち切られた web-fetch にタイマーが残り、常時稼働の launchd ノードで CPU がじわじわ上がる症状は、無応答とハートビートの稿 で触れた「静かな劣化」と同じ棚に並びます。
5.6 は運用文化を置き換えません。四つの足場を外して、Doctor と Gateway の証拠が再び同じ根に刺さるようにします。
社内 Wiki に貼れる表です。「最新一択」ではなく、どのプールが OAuth の揺れを受け入れ、どのプールが顧客デモを守るかを決めます。
| 戦略 | 向くチーム | 主な利点 | 主なリスク |
|---|---|---|---|
| A. 5.5 にピン留め+緊急当て | 変更審査が重い規制系 | バイナリ移動が最小 | CAB 承認まで OAuth ねじれを抱えたまま |
| B. 全ノードを 5.6 へ | スナップショットrollback が小さな編成 | Doctor・Fetch・ディスパッチャが同時に揃う | CLI と Gateway の版ズレ検知が一時的にシビア |
| C. Canary Gateway と安定ワーカー | 並行クライアントを持つ代理店 | OAuth と web-fetch の挙動を隔離 | エッジのヘッダ形を揃える必要があり リバプロ稿 と整合が要る |
| D. メッセージング面は据え置き | Telegram や Teams 比重が高い編成 | モデル経路を触らず輸送だけ検証 | プロバイダ同意は依然として VNC が要る(複数チャネル稿) |
OAuth の名前空間は DB スキーマと同列:黙ってズレた代償は、明示移行の手間より高い。
Gateway、ワーカー、オペレータ端末のクラスごとに順番通り。外向きポリシーが複雑なら三段目を 4.27 の外向きプロキシ稿 の行列と突き合わせてください。
識別子の凍結:OpenClaw のビルド文字列、Gateway の待受ポート、Codex と汎用 OpenAI で別々の OAuth クライアント ID を記録。同意画面を実際に描画した VNC デスクトップのスクショも添付。
スナップショット/エクスポート:クラウド Mac はパッケージ運動の前にボリューム丸ごと。plist や launchd ユニットのハッシュも残し、rollback が「思い出」ではなく証明になるようにする。
5.6 の適用:CLI と Gateway を同じ変更窓で上げる。片方だけ新しいとヘッダ正規化が「効いていない」ように見える典型的ミス。
Doctor を OAuth 視点で:適用前後のログを残す。Doctor がまだ設定面を叩くなら 4.5 の稿 と突き合わせ、別のスキーマ地雷を切り分ける。
Fetch とプロキシ失敗の演習:サンドボックスで制御された 403 を出し、hop-by-hop の二重行が消えたことを確認。企業プロキシがあるなら同じ手順をそこ経由でも。
Debug Proxy を二世代比較:5.5 で録画した合成リクエストと 5.6 での同一合成を並べ、差分が意味のある部分だけになるかを見る。
web-fetch のソーク:並列二十本を短いタイムアウトで投げ、半分を途中キャンセルし、十分観察。CPU が尾を引かないかを見る。心配なら 無応答稿 のハートビート観測と併走。
# 変更票に貼る用(アップグレード直後) openclaw --version openclaw doctor --verbose | tee /tmp/openclaw-doctor-5.6.txt curl -sS -D - https://127.0.0.1:18789/health -o /dev/null
注:長い fetch の最中に SSH を切ると、ターミナルのスクロールより先に launchd が別プロセスを立ち上げていることがあります。VNC でプロセス一覧を正として確認してください。
ITIL 系チケット向け。承認者が境界条件を読めるようにします。
警告:ルート修復は漏洩済みトークンの無効化を代替しません。人為的失敗はローテで処理してください。
ログ tail は SSH で足りる局面もありますが、次の受入は GUI 前提が安全です。
| 検証 | SSH で足りること | VNC を推す局面 |
|---|---|---|
| Codex OAuth 同意とデバイスコード完走 | 一部ログ追跡 | 強く推奨(ブラウザリダイレクトと MFA) |
| Doctor の対話色付き出力 | tmux で可 | 非エンジニア承認者と同席するなら VNC |
| Debug Proxy リプレイと Web Inspector 併読 | 不可に近い | Gateway タブと並べて差分確認 |
| web-fetch ソーク後の launchd 抑制 | log show | Activity Monitor で UI 応答性を体感確認 |
| マルチチャネル再接続バナー | ログのみ | 複数チャネル稿 と整合 |
fetch が固まったと感じたら、殺す前に VNC を開いてください。プロキシ認証シートは SSH には出ません。
OAuth 修復は「どこでも再ログイン」の空気を生みがちです。熱量ではなく手順で面を狭めます。
トークンをプール単位で:Canary ノードだけ先に Codex 開発者トークンを回す。デモ系は本番アシスタントと無関係な更新周期に置く。
web-fetch の上限を一時的に短く:初動一時間だけ厳しめにし、ディスパッチャ漏れを早く露呈。
リバプロのヘッダを単調に:実験的 hop-by-hop をエッジで落とし、Gateway が見る形を Debug Proxy の録画と一致させる(HTTPS 稿)。
rollback を文章化:プラグイン別件で 5.6 を戻す場合でも、OAuth キャプチャは残し輸送か設定かを切る。
差分を添付:Doctor ログの前後をチケットに貼り、次担当へ口伝を残さない。
5.6 以前から有効な輸送・Doctor・Gateway の結合ルールです。
OAuth を疑う前にフォワードプロキシと起動順を揃える。
読む →スキーマ地雷をネット障害と見分ける。
読む →Fetch 整理後に症状ラベルを付け直す。
読む →Codex 専用ハンドラと汎用 OpenAI 名前空間の統合が早すぎ、トークンやデバイスコードの前提が openai-codex/* に残る一方でリダイレクトが openai/* 側へ寄るケースが出ました。5.6 の Doctor はその誤マージを巻き戻します。
なりません。重複や誤解を招くメタデータを削り、HTTP ステータスや相関 ID など実務に効く情報は残します。
ゲートウェイが実際に解釈した形と録画を一致させるためです。大小混在や長さ行の残骸が偽差分を生んでいました。
運用ポリシーに従ってください。孤児タイマーを捨てる変更なので、長寿命ノードでは計画的再起動が説明しやすいフラッシュ手段です。
5.6 は「テレメトリの方が人間より早く嘘をつく」局面へ出す回復系です。Codex OAuth のルートねじれを戻すことで、偽のネットワーク不安定へ注意力を溶かすのを止めます。Fetch の整理と Debug Proxy の決定的リプレイは、インシデントレビューの分母を小さくします。web-fetch ディスパッチャの衛生化は、常時稼働のクラウド Mac でだけ顔を出す劣化クラスを取り除きます。
それでもステージング規律は要ります。スナップショット、版ピン、rollback の文章化は残ります。変わるのは Doctor と Gateway の証拠が、変更審査が期待する同一の根に刺さることです。
実機 macOS で OAuth 同意と Gateway ヘルスを VNC の正として演習したいチームは、VNCMac の Apple Silicon リモート Mac レンタルが現実的です。プランとリージョンは クラウド Mac 購入・契約ページ から選び、接続手順は ヘルプセンター で先に押さえてから 18789 をチームに開けてください。