OpenClaw v2026.4.5 (ориентировочно опубликован около 2026-04-06) — важный релиз для эксплуатации: он убирает или переносит многие устаревшие публичные алиасы конфигурации к каноническим путям и явной семантике enabled, включает несколько правок усиления безопасности (allowlist инструментов только для плагинов, мутации /allowlist только владельцем, поведение fail-closed при падении хуков before_tool_call, более ранняя блокировка отдельных классов браузерных SSRF-редиректов) и дорабатывает doctor, чтобы нормализованные конфиги talk сравнивались по структуре, а не по хрупкой сериализации — меньше шумных «исправлений без смысла». Если вы держите Gateway на арендованном или колокейтном Mac, типичный сбой редко звучит как «npm не скачал пакет» и чаще как «в конфиге остались ключи, которые перестали работать ещё три минора назад, но молча». Этот плейбук даёт продвинутым пользователям и дежурным инженерам повторяемую цепочку: резервная копия → обновление пакета или образа → openclaw doctor → openclaw doctor --fix → запуск Gateway → проверка панели управления в графической сессии VNC. Он дополняет более ранние материалы о миграции, сфокусирован на breaking-изменениях и безопасности v2026.4.5 и отсылает к Docker, launchd, SecretRef, браузерному MCP и диагностике «нет ответа» в других статьях на этом сайте.
1) Болевые точки: удалённые обновления и тихий дрейф конфигурации
- Короткий срок жизни туториалов: фрагменты из issues, Discord или блогов привязаны к конкретным минорам; файл может парситься, но перестаёт влиять на рантайм после ужесточения схемы.
- Поздняя валидация: Gateway может «взорваться» только на старте; при launchd это выглядит как шторм перезапусков, если не смотреть логи.
- Разный toolchain: Node из Homebrew, обёртки nvm и глобальный префикс npm спорят о том, какой бинарник
openclawреально запускается; в v2026.4.5 явно важно «какой npm владеет префиксом». - Пробелы GUI по SSH: OAuth, экраны согласия и локальные редиректы браузера требуют рабочего стола; VNC снова собирает терминал и браузер в одном месте.
- Расхождение контейнера: подняли только тег образа, а том с конфигом всё ещё в старой форме — doctor на хосте и в контейнере даёт противоречивые выводы.
- Жёстче значения по умолчанию в безопасности: сценарии, которые «работали из-за слабых правил», теперь могут закрываться — это ожидаемо; исправлять политикой, а не слепым отключением защит.
2) Матрица решений: npm, Docker, launchd и несколько workspace
| Топология | Где обновлять | Главный риск | Практика 2026 |
|---|---|---|---|
| Глобальный npm / инсталлятор | Шелл на хосте | Несовпадение префикса | Проверить which openclaw и openclaw --version; затем doctor |
| Docker Compose | Дайджест образа + том | «Два мозга» CLI | Запускать doctor в описанном контексте контейнера; перезапустить стек |
| launchd | Переменные plist + WorkingDirectory | PATH без nvm | Абсолютные пути к бинарникам или один toolchain; bootout/bootstrap после правок |
| Несколько workspace | Много корней JSON | Исправили только одно дерево | Таблица путей; статья про изоляцию нескольких проектов |
3) Breaking и поверхности безопасности в v2026.4.5
Breaking: канонизация
Релиз убирает устаревшие алиасы вроде talk.voiceId/talk.apiKey, agents.*.sandbox.perSession, browser.ssrfPolicy.allowPrivateNetwork, hooks.internal.handlers, переносит переключатели allow для каналов/групп/комнат в канонические места с enabled, сохраняя совместимость на этапе загрузки и поддержку миграции через openclaw doctor --fix. Предпочитайте автоматическую миграцию ручному редактированию вложенного JSON.
Безопасность и плагины
Ожидайте более строгого контроля allowlist инструментов плагинов, привилегированных команд allowlist, сбоев хуков и браузерной защиты от SSRF. После обновления прогоните минимальную матрицу плагинов: один безопасный вызов инструмента, одно сообщение в канал, один запрет пути — чтобы убедиться, что политики ведут себя как задумано.
Doctor и провайдеры
В заметках также — очистка устаревших профилей anthropic:claude-cli и улучшение сравнения нормализации talk: полезно, если раньше видели бесконечный шум «исправлен talk.provider» без реального диффа.
Фрагмент для бэкапа
cp ~/.openclaw/openclaw.json ~/backups/openclaw-$(date +%Y%m%d).json tar czf ~/backups/openclaw-workspace-$(date +%Y%m%d).tar.gz ~/.openclaw/workspace 2>/dev/null || true
4) Семь шагов: от бэкапа до проверки
Зафиксировать объём и сделать резервную копию
Конфиг, стратегия секретов, workspace; зафиксировать версии Node и OpenClaw.
Обновиться до v2026.4.5 одним каналом
Глобальный npm, скрипт установщика или тег Docker — не смешивать.
Запустить openclaw doctor (пока без fix)
Сохранить полный вывод для тикет-системы.
Применить openclaw doctor --fix
Повторять doctor, пока breaking-пункты не исчезнут; выровнять SecretRef, если используете.
Запустить Gateway и читать логи
Проверить слушатели, провайдеры, плагины; при контейнере пробросить порт 18789.
Проверить панель управления в VNC
Завершить согласия браузера или циклы OAuth; при симптомах свериться с гайдами по browser MCP и «нет ответа».
Дымовой тест и план отката
Минимальный чат + вызов инструмента; при поломке восстановить архив бэкапа и зафиксировать дифф.
5) Опорные факты и команды
doctor, а не устаревшим фрагментам из сообществ.- Сохранены выводы doctor до и после
- Каждый каталог workspace мигрирован
- Дымовый тест инструментов пройден
- Архив отката проверен на восстановление
6) FAQ, смежные материалы, заключение
В: Пропустить doctor и править JSON вручную? Возможно, но для вложенных схем это чревато ошибками.
В: Каналы молчат после обновления? Проверьте наследование окружения в launchd, затем материалы про «нет ответа» и сеть.
Связанные темы: типичные ошибки (10 решений), чеклист launchd, официальный гайд Docker Compose, аудит SecretRef, browser MCP, диагностика отсутствия ответов.
Заключение: обновления восстанавливают цепочку доказательств конфигурации
На общих удалённых Mac частичная миграция блокирует всех, кто зависит от этого Gateway. Используйте VNC, чтобы в одной сессии совместить вывод CLI, проверку в браузере и правки файлов. Если нужна мощность macOS без покупки железа на короткий цикл, VNCMac вместе с этой библиотекой чеклистов обычно быстрее, чем случайные «одолженные» машины.