2026 OpenClaw v2026.4.23 Kind-Sessions:
sessions_spawn, optionaler Fork, saubere Hauptsitzung

01. Schmerz: Haupttranskript, RPC-Kante, Fork-Semantik

1) Haupttranskript absorbiert Tool-Rauschen: Nach wiederholten browser- oder image_generate-Versuchen klappt die Compaction Fehlerspuren in spaetere Zuenge, sodass das Modell veraltete Pfade erneut testet. Kind-Sessions entkoppeln Toolgraph und Entscheidungsdialog; die Elternzusammenfassung bleibt strategisch.

2) Spawn wirkt am Gateway-RPC eingefroren: Typische Stapel sind Standardtimeouts, Approvals an der Kopfzeile oder fehlende systemd-Umgebungsvariablen. Lesen Sie zuerst die Approvals- und Config-RPC-Triage, bevor Sie max_tokens erhoehen und damit Kosten und Latenz verschleiern.

3) Fork-Kontext vs. Audit-Erwartung: Wenn Kinder den Anfragenden-Transkript erben, brauchen Sie eine explizite Eltern-Kind-Ticketlinie. Bleibt strikte Isolation aktiv, klagen Nutzer ueber fehlenden Kontext. Dokumentieren Sie Fork-Strategie, Log-Pfade und Aufbewahrungsfrist im Ticket, damit Security und Engineering dieselbe Sprache sprechen.

4) Zeitleisten-Taeuschung nach Job-State-Splits: Seit aggressiverer Trennung von Cron-Executor-Dateien und jobs.json sieht ein Team nur noch halbe Wahrheit. Spawn-Konkurrenz und Backlog-Pruning muessen auf einer gemeinsamen Achse beobachtet werden, sonst fehlinterpretieren Sie Gateway-Schreibschutz als Zufallsausfall.

Betriebshinweis: Buendeln Sie Experimente in einen Slash-Alias oder einen Kanal; verteilen Sie keine Rohlogs in DMs. Multi-Tenant-Gateways erhalten je Mandant eine eigene Tagesmiete-Maschine, damit Browser-Tools keine gemeinsame Keychain oder Autofill-Konten treffen.

02. Matrix: Spawn vs neue Session vs Hooks

Nach der Tabelle entscheiden Sie operativ: Wenn der Kanal selbst Tragfaehigkeit liefert, ist sessions_spawn meist guenstiger als ein paralleler Chat-Tab. Wenn Sie Scheduler-Semantik brauchen, verschieben Sie Orchestrierung bewusst zu Hooks und messen Sie dort SLA und Idempotenz, statt Spawn als Cron-Ersatz zu missbrauchen.

03. Sieben Schritte: Version, Smoke, Fork, Logs, Compaction, Rehearsal, Rollback

1. Versionen angleichen: Gateway-Binaer und CLI muessen identische semver tragen; speichern Sie die ersten 40 Zeilen von openclaw doctor im Ticket, um Drift zwischen Dienst und interaktivem Client auszuschliessen.
2. Smoke ohne Fork: Kurze Toolkette, keine Vererbung; erfassen Sie P50/P95-RPC als Baseline, bevor Sie Fork-Flags aktivieren.
3. Fork-Experiment: Ticket-ID direkt neben der Config-Datei notieren; sensible Produktionskanaele auf read-only stellen, damit Browser-Tools keine Schreibaktionen ausloesen.
4. Gateway-Logs: Spawn-Start und -Ende taggen; bei Multimodal parallel timeoutMs pro Aufruf mit Warteschlangenverzoegerung korrelieren, sonst verwechseln Sie Queue-Blocking mit verlorenem Fork.
5. Compaction pruefen: Nach einem Compaction-Ereignis muss die Elternzusammenfassung weiterhin entscheidungsreif sein; Kindfehlerstacks duerfen nicht rueckwaerts in den Elternbaum schreiben.
6. macOS-Rehearsal: Schritte 2-5 auf einem Tagesmiet-Host wiederholen; vergleichen Sie OpenClaw-Deployment-Fallen mit SSH/VNC-FAQ fuer Transport und Kostenlogik.
7. Rollback: Experiment-Flags deaktivieren, Kommandoblöcke archivieren, Topologie mit Compose-Healthchecks verknuepfen.

openclaw version
openclaw doctor | head -n 40
rg "sessions_spawn|spawn" /var/log/openclaw-gateway.log

04. Ollama, Multimodal und Compose-Skalierung

Wenn Kinder dieselbe Toolregistry wie die Eltern erben, ziehen Sie langsame lokale Streams aus Ollama-Routing hinein und erzeugen undici-Tails. Reduzieren Sie die Tooloberflaeche schrittweise, oeffnen Sie Browser- oder Bildwerkzeuge erst nach stabilem Baseline-Roundtrip.

Bei parallelen image_generate- oder TTS-Aufrufen trennen Sie strikt Tool-Fertigstellungszeitstempel und Spawn-ACK-Zeitstempel. Ohne beide Signaturen faellt Debugging auf falsche Hypothesen zurueck.

Horizontal skalierte Compose-Executor verlangen konsistente Session-Sticky-Regeln. Wenn der CLI-Spawn auf Instanz B landet, der Kanal aber noch Antworten von Instanz A erwartet, entsteht ein Zombie-Eindruck. Pruefen Sie benannte Volumes und Startreihenfolge im Compose-Runbook, bevor Sie einzelne Container endlos neu starten.

RPC-Schicht vs. Tool-Schicht

Gateway-RPC misst Verhandlung und Serialisierung bis zur Annahme eines Auftrags, waehrend Tool-Timeouts die Ausfuehrungsphase betreffen. Wenn Sie beide Werte in einem Grafana-Panel ueberlagern, sehen Sie schnell, ob ein «Spawn haengt»-Alarm in Wahrheit eine blockierte Approvals-Warteschlange ist oder ob das Kind zwar gestartet wurde, aber ein Bildgenerator hinter einem langsamen NFS haengt. Dokumentieren Sie fuer jedes Ticket beide Metriken, damit Postmortems nicht wieder in die Sackgasse «wir haben einfach Timeouts vergroessert» laufen.

Fuer systemd-gestartete Dienste pruefen Sie zusaetzlich EnvironmentFile-Pfade: fehlende Variablen aendern zwar nicht den Toolcode, aber sie brechen Haendler-Plugins ab, die beim Spawn sofort Konfiguration lesen. Solche Fehler manifestieren sich als sofortiger 500er auf der RPC-Schicht und tauschen sich optisch mit Fork-Problemen. Ein kurzer Abgleich mit der Timeout-Matrix spart hier mehrere Stunden.

Beobachtbarkeit ohne Chat-Leak

Strukturierte Logs sollten Ticket-IDs enthalten, aber keine Klartext-Tokens. Wenn Ihr Team dennoch menschenlesbare Spuren braucht, schreiben Sie Hashes der Konfigurationsausschnitte statt Volltext. Das erhoeht den Pflegeaufwand moderat, verhindert aber, dass ein Kind-Spawn versehentlich Geheimnisse in zentrale Syslog-Sammler repliziert, was wiederum Compliance-Verletzungen erzeugt, die mit dem technischen Spawn-Erfolg nichts zu tun haben.

Alerting sollte auf Rate-of-change der Spawn-Latenz gehen, nicht auf absolute Schwellen: nach einem Release springen Baselines haeufig 20-30 Millisekunden, was normal ist, solange die P95 nicht kollabiert. Kombinieren Sie diese Alerts mit Canary-Kind-Sessions, die nur synthetische Tools aufrufen, um false positives zu reduzieren.

Disaster-Recovery-Stub

Planen Sie einen kleinen, versionierten «Not-Aus»-Commit, der Fork-Experimente deaktiviert und Gateway plus Executor auf die letzte gruene Kombination zuruecksetzt. Der Stub muss ohne menschliche Chat-Interaktion lauffaehig sein, damit On-Call-Ingenieure nicht erst Slack durchsuchen muessen. Speichern Sie ihn im gleichen Repo wie Ihre Compose-Dateien und testen Sie ihn monatlich auf der Miet-Maschine, nicht erst im Incident.

Ein Stub allein reicht nicht: dokumentieren Sie, welche Kanäle waehrend des Rollbacks stummgeschaltet werden, damit Nutzer keine halb fertigen Antworten sehen. Die Kommunikation ist Teil der Verfuegbarkeit; technischer Erfolg ohne Erwartungsmanagement fuehlt sich fuer Stakeholder wie Ausfall an.

05. Kennzahlen, Mythen und Uebergabehygiene

• Kennzahl 1: Etwa 31% bis 46% der Tickets «Spawn startet nicht» liegen nach Schichtung an Approvals- oder Config-RPC-Schwanzlatenz, nicht an fehlerhaftem Spawn-Code.
• Kennzahl 2: Teams mit Sieben-Schritte-Rehearsal plus Mietisolation reduzierten median die Zeit bis zum reproduzierbaren Runbook um 37% bis 52% gegenueber reiner Laptop-Triage.
• Kennzahl 3: Fork-Experimente mit zu grosszuegiger Allowlist erhoehten interne Browser-Outbound-Versuche um 14% bis 22% laut Security-Reviews.

Mythos A: Spawn sei ein unbegrenzter Parallelisierer. Mythos B: Cron-Backlog und Spawn duerfen im selben Diagnosethread vermischt werden. Mythos C: Fork direkt auf Produktionskanaelen ohne Sandkasten.

Fuer Uebergaben nutzen Sie einen indexierten, verschluesselten Log-Pfad auf dem Gateway-Host statt Konfigfragmente in Chat-Tools zu posten. Multi-Tenant-Setups isolieren Browser-Toolketten physisch, damit keine Testzugangsdaten in Autofill haengen bleiben.

Vor Rueckgabe des Miet-Mac fuehren Sie die fuenf Schritte ohne Spuren aus und markieren Sie separat «Spawn erfolgreich» und «Maschine gewischt», damit Auditoren zwei klare Checkboxen sehen.

06. Linux-Gateway vs. natives macOS-Rehearsal

Linux bleibt unschlagbar fuer Packaging und CI, doch Apple-adjazente Workflows, Safari-Fingerabdruecke und Xcode-Nachbarschaft sind auf macOS am stabilsten. Tagesmiete koppelt Kosten an das Validierungsfenster statt an dauerhafte CapEx. Ergaenzend lesen Sie den Remote-Leitfaden und kombinieren Sie Ollama-Fallback mit MCP-Freigaben, sobald externe Tools dazukommen.

Planen Sie pro Release-Trainingsblock Dashboards fuer P50/P95-RPC und Spawn-Erfolgsquote; so wandern die Kennzahlen aus Abschnitt 05 in Regressionstests zurueck und verhindern erneutes Ahnungslos-Ticketen bei Minor-Upgrades.

Postmortem-Vorlage

Jedes Postmortem sollte zwingend die folgenden Felder enthalten: Gateway-Version, CLI-Version, Flag-Set fuer Fork, Kanal-ID, Zeitstempel des ersten fehlgeschlagenen RPC, Zeitstempel des ersten erfolgreichen Kind-ACK, Liste der aktiven Tools im Kind, sowie die Entscheidung, ob Compaction zwischenzeitlich lief. Ohne diese Zeilen wiederholen Teams dieselbe Analyse in drei Wochen, weil niemand weiss, welche Konstellation damals galt.

Fuegen Sie eine Rubrik «Wirtschaftlicher Schaden» hinzu: verlorene Ingenieur-Stunden, verzoegerte Releases, versehentlich freigegebene Browser-Sessions. Selbst grobe Schaetzungen helfen Management zu verstehen, warum Tagesmiete guenstiger ist als dauerhaftes Fehldebugging auf Produktionshardware.

Governance fuer Mandantenfaehigkeit

Wenn mehrere Teams denselben Gateway-Cluster teilen, definieren Sie pro Mandant maximale gleichzeitige Spawns, erlaubte Toolfamilien und getrennte Log-Buckets. Technisch mag OpenClaw multiplexen, organisatorisch bricht ohne Grenzen der erste Browser-Tool-Fehler das Vertrauen aller Kunden gleichzeitig.

Policy-as-Code-Ansaetze funktionieren hier besser als Slack-Abstimmungen: speichern Sie Mandantenregeln in Git, reviewen Sie sie wie Produktionsconfig und verknuepfen Sie sie mit CI-Checks, die verhindern, dass jemand versehentlich globale Fork-Flags setzt. Die Checks kosten einmalig Entwicklungszeit, sparen aber wiederkehrende Nachtschichten.

Kapazitaetsplanung

Rechnen Sie Spawn nicht als CPU-Last, sondern als gleichzeitige offene Dateideskriptoren und WebSocket-Verbindungen. Ein plötzlicher Anstieg der Kinderzahl belastet oft zuerst den Epoll-Loop und SQLite-Backends, nicht die GPU. Kapazitaetstests sollten deshalb synthetische Kinder mit realistischen Toolketten erzeugen, nicht nur stumpfe Ping-RPCs.

Fuer FinOps vergleichen Sie fixe Colocation-Kosten mit variabler Miete: die Formel lautet (Monatsmiete * erwartete Drill-Tage) + Support-Zeit gegenueber (Anschaffung / amortisierte Monate) + Opportunitaetskosten durch unsaubere Laptops. In fast allen sporadischen OpenClaw-Rollouts gewinnt die Miete, sobald Sie mehr als zwei unterschiedliche Fork-Strategien pro Quartal testen.

Halten Sie schliesslich eine kleine Bibliothek von Referenz-Traces: zehn erfolgreiche und zehn fehlgeschlagene Spawn-Ablaeufe, anonymisiert, aber strukturell vollstaendig. Onboarding-Ingenieure lernen daraus schneller als aus PDFs, und Sie reduzieren wiederholte Fragen im internen Chat.

07. Eigenes Rack vs. gemietete macOS-Kapazitaet

Dauerhaftes Eigengeraet bindet Anschaffung, Strom, AppleCare-Logik und physische Sicherheit. Kurzfristige Tagesmiete auf Bare-Metal-macOS kauft Ihnen stattdessen ein definiertes Zeitfenster, in dem Sie Fork- und Toolflaechen-Experimente aus dem Produktions-Gateway herausziehen, ohne dass interne Laptops Geheimnisse oder Browser-Profile leaken. MacDate liefert SSH/VNC-nahe Ergonomie, planbare Stunden- oder Tagestakte und eine dokumentierte Rueckgabehygiene, die zu den obigen Sieben Schritten passt.

Wenn Ihr Team bereits Compose-Topologien pflegt, behandeln Sie die Mietmaschine als zusaetzlichen Executor-Tier: gleiche Runbooks, aber klarer finanzieller Burn-Down und harter Wipe am Ende. So bleibt der Vergleich fair und nicht nur Marketing.

Sicherheitsreview-Checkliste

Bevor Fork produktiv geht, verlangen Sie sign-off zu: Datenresidenz der Kind-Logs, Verschluesselung ruhender Spawnsnapshots, Zugriffskontrolle auf Gateway-Admin-APIs, sowie Nachweis, dass Browser-Profile keine synchronisierten Passwortmanager enthalten. Jede Checkbox soll einen Link zu einem Ticket oder einem Policy-Dokument tragen, damit externe Auditor nicht nur Marketingtext lesen.

Penetrationstests sollten gezielt versuchen, aus einem Kind heraus Eltern-Token zu lesen: wenn das gelingt, ist Ihre Isolation nur kosmetisch. Dokumentieren Sie Befunde als konkrete CVE-aehnliche interne IDs und verfolgen Sie Remediation in demselben Kanal wie Produktionsbugs, nicht in einem separaten Security-Wiki, das niemand pflegt.

Fuer Datenexporte definieren Sie, ob Kinder ueberhaupt Berechtigung haben, Archive zu erzeugen. Viele Teams vergessen, dass ein Bildgenerator automatisch ZIPs schreibt, die wiederum auf gemounteten Volumes landen und nach Mietende stehen bleiben. Explizite Verbote plus technische AppArmor-Profile reduzieren dieses Risiko effektiver als reine Schulungen.

Schulungen bleiben dennoch relevant: jede neue Teammitglied soll einmal hands-on die Sieben Schritte auf einer Miet-Maschine durchlaufen, inklusive absichtlichem Rollback. Praktische Muskelmemory verhindert Panikfehler waehrend echter Stoerungen und senkt MTTR messbar.

Ergaenzen Sie zusaetzlich eine monatliche «Spawn-Drill»-Uhr: 45 Minuten, fest im Kalender, in denen ein rotierender Ingenieur willkuerlich ein Kind startet, Logs sammelt und wieder verwirft. Die Uebung kostet weniger als ein einziger nachtlaengerlicher Incident und haelt Wissen frisch, selbst wenn das Produktionsgateway stabil bleibt.

Wenn externe Berater Zugang erhalten, isolieren Sie deren Spawns auf separaten Clustern mit eigenen API-Schluesseln. Beraterwechsel ohne solche Trennung fuehrt regelmaessig zu verwaisten Kind-Sessions, die noch Tage spaeter Ressourcen ziehen, weil niemand weiss, welcher Demo-Account sie eroeffnet hat. Dokumentieren Sie deshalb jeden externen Zugang mit Ablaufdatum, Verantwortlichem, Eskalationspfad und automatischem Loeschen der zugehoerigen Kind-Metadaten fuer schnelle Nachverfolgbarkeit jederzeit.