Пространства имён Codex · читаемые сбои SDK и прокси · детерминированные повторы · диспетчеры без сиротских таймеров
Команды, тихо выкатившие v2026.5.5, могли увидеть симптомы, похожие на лимиты скорости или «протухшие токены», хотя истинная причина — рассогласование ожиданий openai-codex/* и маршрутов openai/*. OAuth — это не простой REST-эндпоинт: согласие браузера, код устройства и цепочка обновления должны жить в одном документированном пространстве имён. Слияние обработчиков «ради удаления дубликата» без карты артефактов тихо сдвигает discovery и связку с связкой ключей. v2026.5.6 намеренно восстановительный. Doctor откатывает ошибочное слияние маршрутов OAuth Codex из 5.5, fetch чистит метаданные заголовков, чтобы сбои SDK и исходящего прокси описывались одной связной историей, Debug Proxy нормализует заголовки для повторов, чтобы записи сравнивались с живым трафиком шлюза, а Gateway убирает диспетчеры таймаутов web-fetch, оставлявшие таймеры на оборванных загрузках. Это полевое руководство для операторов на арендованных удалённых Mac с Apple Silicon, где VNC — авторитетная консоль: таксономия боли, матрица решений, семишаговый runbook, четыре формулировки для заявок на изменение, таблица приёмки по VNC и стратегия сужения зоны поражения во время ротации секретов. Свяжите материал с Doctor и ломающими обновлениями (4.5), исходящим прокси и запуском Gateway (4.27), балансировкой Edge-узлов (5.1). Для переклассификации симптомов используйте десять типовых решений; для тихой деградации — Doctor, heartbeat и отсутствие ответа; для мессенджеров — многоканальный Gateway; для TLS и заголовков на периметре — обратный прокси HTTPS. Дополнительно полезно связать эти исправления с вашими операционными метриками: доля ошибок OAuth по client_id, профиль CPU после отменённых web-fetch и частота ложных diff в Debug Proxy. Без такой корреляции воспринимается как точечный патч; с корреляцией превращается в повторяемое доказательство для комитета по изменениям. Держите окно измерений не менее суток, чтобы ночные задания и cron дали ту же картину, что и дневные проверки. Зафиксируйте владельца метрик и порог оповещения заранее, чтобы после выката не спорить о том, что считать регрессией.
В каждой заявке фиксируйте воспроизведение и гипотезу пространства имён. SSH скрывает листы согласия; журналы Gateway съедают внимание.
Раздвоение маршрутов OAuth: чрезмерное слияние обработчиков Codex и общего OpenAI; пути device-code ждали метаданные openai-codex/*, а редиректы уводили к openai/*. Прерывистые 401 ошибочно принимались за срок токена, а не за перекос маршрутизации — см. шаблоны в десяти решениях.
Тина метаданных fetch: сбои SDK и прокси дублировали hop-by-hop строки, питая призраков CORS и TLS.
Дрейф повторов Debug Proxy: регистр и остатки Content-Length портили diff записи и живого прогона.
Утечки диспетчеров таймаутов: оборванные web-fetch оставляли таймеры, поднимая CPU на постоянных узлах — родственно тихим сценариям из статьи без ответа.
5.6 не заменяет культуру изменений; убирает четыре капкана, чтобы доказательства Doctor и Gateway снова указывали на один корень.
Практический смысл появляется, когда вы связываете эти четыре капкана с уже существующими дашбордами: средняя загрузка CPU после серии отмен, доля повторных попыток OAuth и число ложных расхождений при сравнении записей Debug Proxy. Тогда каждое восстановление превращается в измеримый эксперимент, а не в историю устного пересказа между сменами.
Для внутренней вики: какой пул принимает OAuth-шум, какой бережёт клиентские демо.
| Стратегия | Лучше для | Главный выигрыш | Главный риск |
|---|---|---|---|
| A. Закрепить 5.5 + хотфикс | строгий CAB | минимум движения бинарников | перекос OAuth до одобрения |
| B. Всё на 5.6 | малые парки со снапшотом | Doctor, fetch и диспетчеры вместе | временно жёсткая дисциплина версий CLI и Gateway |
| C. Canary Gateway + стабильные воркеры | агентства с параллельными клиентами | изоляция OAuth и web-fetch | согласованные заголовки на периметре (обратный прокси) |
| D. Слой мессенджеров без изменений | фокус на Telegram/Teams | проверка транспорта без маршрутизации моделей | согласия провайдеров всё ещё требуют VNC (многоканальность) |
Пространства имён OAuth — как схемы БД: тихий дрейф дороже названого окна миграции.
По классам узлов (Gateway, воркер, ноутбук оператора) по порядку. При сложном outbound сверьте шаг три с матрицей в руководстве 4.27.
Заморозить идентификаторы: строки сборки OpenClaw, порты прослушивания, отдельные OAuth client_id для Codex и общего OpenAI; скриншоты согласия из реальной VNC-сессии.
Снапшот/экспорт: тома облачного Mac до движения пакетов; хэши plist и launchd для доказуемого отката.
Применить 5.6: CLI и Gateway в одном окне изменений; иначе нормализация заголовков «не работает» из-за половинчатого обновления.
Doctor с фокусом OAuth: журналы до/после; если остаются сигналы схемы, сопоставьте с статьёй 4.5.
Учения fetch/прокси: контролируемый 403 в песочнице, проверка исчезновения дублирующих hop-by-hop; повтор через корпоративный прокси.
Две эпохи Debug Proxy: тот же синтетический вызов на записи 5.5 и живом 5.6; diff должен быть семантическим.
Замачивание web-fetch: агрессивный параллелизм, отмены, десять минут CPU; дополнительно heartbeat из статьи без ответа.
# В заявку после апгрейда openclaw --version openclaw doctor --verbose | tee /tmp/openclaw-doctor-5.6.txt curl -sS -D - https://127.0.0.1:18789/health -o /dev/null
Заметка: обрыв SSH во время длинного fetch может привести к тому, что launchd поднимет второй процесс быстрее, чем обновится scrollback. Используйте список процессов в VNC как истину.
Для CAB/ITIL: границы, а не настроение.
Предупреждение: починка маршрутизации не заменяет ротацию скомпрометированных секретов.
Для tail логов SSH часто достаточно; эти приёмки остаются GUI-first.
| Проверка | Часто хватает SSH | Предпочесть VNC |
|---|---|---|
| Согласие Codex OAuth и код устройства | частично | Да для редиректов и MFA |
| Интерактивный Doctor | tmux | Да при ревью с нетехническими участниками |
| Повтор Debug Proxy + Web Inspector | нет | Да, вкладка Gateway рядом |
| launchd после soak web-fetch | log show | Мониторинг системы для отзывчивости UI |
| Баннеры мультиканала | только логи | Согласование с многоканальностью |
Зависший fetch: сначала VNC, потом kill; листы аутентификации прокси не существуют в SSH.
Исправления OAuth провоцируют «перелогиньтесь везде». Замените энтузиазм сегментированной ротацией.
Токены по пулам: сначала canary; демо отдельно от продакшен-ассистентов.
Короткие таймауты web-fetch на старте: утечки диспетчера видны раньше.
Скучные заголовки на периметре: снять экспериментальный hop-by-hop; см. обратный прокси HTTPS.
Документировать откат: бинарник назад, но OAuth-захваты сохранить для разделения транспорта и конфигурации.
Прикладывать diff: журналы Doctor к заявке, без устной передачи.
Правила транспорта, Doctor и Gateway действовали ещё до 5.6.
Согласуйте прокси и порядок загрузки до обвинений OAuth.
Читать →Отделите конфигурационные мины от сетевых сбоев.
Читать →Переименуйте симптомы после очистки fetch.
Читать →Слияние сблизило обработчики Codex с общими путями OpenAI; артефакты ждали openai-codex/*, редиректы уводили к openai/*. Doctor 5.6 откатывает слияние.
Нет: убираются дубликаты и шум; статусы и корреляции остаются.
Повтор должен отражать то, что видел шлюз; иначе ложные регрессии.
Следуйте политике rolling restart; контролируемый перезапуск наиболее прозрачно сбрасывает состояние.
5.6 борется с телеметрией, которая лжёт быстрее, чем люди успевают думать. Починка маршрутов OAuth останавливает ложные сетевые нарративы. Чистые метаданные fetch и детерминированные повторы Debug Proxy укорачивают каждый разбор инцидента. Гигиена диспетчеров убирает тонкий класс утечек на постоянно включённых облачных Mac.
Дисциплина staging остаётся: снапшоты, пины, документированный откат. Меняется то, что доказательства Doctor и Gateway совпадают с ожиданиями комитета по изменениям. Сохраните это совпадение как воспроизводимое доказательство, а не как одиночное письмо.
Чтобы отрепетировать согласие OAuth, здоровье Gateway и мультиканальные баннеры на реальном macOS с опорой на VNC, арендуйте удалённый Mac Apple Silicon у VNCMac. Тарифы и регионы — на странице покупки Mac в облаке; подключение — в центре помощи, прежде чем открывать порт 18789 всей команде.