2026 OpenClaw v2026.4.14 runbook :
routage famille GPT-5, correctifs des champs du catalogue fournisseur et triage premier démarrage Gateway
De petites versions OpenClaw cassent encore la production lorsque le JSON du catalogue, les timeouts de flux et les chemins interactifs Slack ne correspondent plus à vos hypothèses. v2026.4.14 resserre ces coutures : visibilité anticipée pour GPT-5.4 / gpt-5.4-pro, sortie catalogue Codex qui porte enfin apiKey pour que les modèles personnalisés cessent de disparaître, flux Ollama plus lents sans hériter de coupures agressives, événements d'actions de blocs et de modales Slack qui respectent allowFrom, et garde-fous Gateway qui rejettent les tentatives dangereuses config.patch / config.apply. Ce runbook s'adresse aux self-hoster qui doivent valider le comportement Gateway en une à deux journées : trois zones de friction, une matrice de plan d'installation, sept étapes exécutables, trois indicateurs solides, et des liens vers la gouvernance des clés en production, les chemins d'installation v2026.4.5, les jetons Gateway et SecretRef, et l'économie d'un banc Mac à la journée, afin que les mises à niveau atterrissent d'abord sur un banc jetable.
Sommaire
- 01. Trois zones de friction : apiKey du catalogue, timeouts Ollama, contournement interactif Slack
- 02. Matrice : npm global vs install.sh vs sidecar Docker
- 03. Sept étapes : sauvegarde, mise à niveau, doctor, Gateway, fumée modèle, canaux, retour arrière
- 04. Sécurité des outils Gateway et lignes rouges config.patch
- 05. Échelle de commandes : statut, journaux, doctor, canaux
- 06. Indicateurs et mythes
- 07. Fumée Linux seule contre répétition Mac native en location
01. Trois zones de friction : apiKey du catalogue, timeouts Ollama, contournement interactif Slack
1) Perte silencieuse de modèles dans la sortie catalogue Codex : les builds précédents pouvaient omettre apiKey dans le JSON du catalogue fournisseur, ce qui empêchait les entrées personnalisées d'atteindre models.json même si votre YAML était correct. Symptôme : Gateway sain avec des routes vides pour des alias tout juste déclarés. v2026.4.14 corrige ce chemin de champ—après mise à niveau, différenciez la sortie catalogue avant/après pour prouver la forme de la charge utile.
2) Longs flux Ollama tués par des défauts hérités : les modèles locaux lents ont besoin de coupures de flux différentes des appels GPT cloud. La version ajuste la sémantique des timeouts pour ne pas tronquer les rafales d'outils en milieu de flux ; vous devez tout de même rejouer une taille de lot réaliste car des vérifications echo synthétiques n'exercent pas les mêmes tampons.
3) Événements interactifs Slack contournant allowFrom : les actions de blocs et les callbacks modaux contournaient historiquement la même liste blanche que les messages de canal. Le correctif comble l'écart ; après mise à niveau, lancez un test négatif volontaire depuis un utilisateur d'espace de travail non autorisé pour confirmer le refus, puis réactivez la liste la plus étroite que votre politique d'incident autorise.
Compatibilité ascendante GPT-5.4 / gpt-5.4-pro arrive aussi ici : des champs de prix et de visibilité peuvent apparaître avant l'alignement complet des catalogues amont. Croisez la télémétrie de dépense avec le routage et les plafonds budgétaires pour ne pas promouvoir accidentellement un SKU preview vers un trafic illimité.
Les métadonnées de sujet de forum Telegram sont plus riches sur cette branche : les agents voient des noms de sujets lisibles dans les métadonnées de prompt et les hooks de plugin. Si vous dépendez d'identifiants de sujet scriptés, mettez à jour les parseurs pour tolérer identifiants numériques et textuels pendant la fenêtre de transition.
Les piles vision sur Ollama profitent des correctifs de normalisation pour les outils PDF et image ; validez au moins un raster et un PDF riche en vecteurs via le même chemin d'outil qu'en production, pas seulement via le bac à sable du chat.
L'hygiène opérationnelle bat toujours les feature flags : faites tourner les jetons à courte durée de vie utilisés pendant la fenêtre de mise à niveau, capturez le PATH exact vu par le démon par rapport à votre shell interactif, et ajoutez des notes structurées au ticket après chaque phase—sauvegarde terminée, baseline doctor, premier appel modèle vert—afin que la finance et la sécurité corrélationnent dépenses et périmètre sans nouvelle réunion.
Si plusieurs ingénieurs partagent une machine de banc, sérialisez les modifications de configuration Git ou npm globale via un seul propriétaire ; sinon http.extraHeader et les surcharges d'aide aux identifiants entrent en collision et ressemblent à une authentification capricieuse alors que v2026.4.14 est sain.
Les équipes très conformes doivent aussi vérifier que tout trafic preview GPT-5.x reste dans les régions approuvées avant de promouvoir les routes vers des locataires de production ; les premiers appels mal routés coûtent cher à annuler une fois la télémétrie déjà étiquetée avec des données clients.
02. Matrice : npm global vs install.sh vs sidecar Docker
Utilisez un plan de contrôle par hôte. Mélanger npm -g, npx local au projet, installations scriptées et sidecars Docker sur la même machine produit des défauts « mauvais binaire openclaw a répondu au doctor » qui se déguisent en régressions de v2026.4.14.
| Dimension | npm global | install.sh | Sidecar Docker |
|---|---|---|---|
| Vitesse de mise à niveau | Rapide | Moyenne | Reconstruction plus lente |
| Alignement démon | Moyen | Élevé | Élevé dans le conteneur |
| Explicabilité | Moyenne | Élevée | Moyenne |
| Idéal pour répétition v2026.4.14 | Spike sur portable perso | Défaut d'équipe | Topologie proche prod |
Si les tableaux de bord restent vides après l'onboarding, alignez-vous sur le dépannage d'installation v2026.4.5 avant d'accuser les nouveaux champs du catalogue.
Lorsque Docker est votre plan de contrôle, épinglez les digests d'image séparément pour l'hôte de répétition et l'hôte de production ; des digests qui dérivent pendant une semaine de correctif mineur créent de fausses « régressions » qui sont en réalité des couches obsolètes. Pour les équipes npm d'abord, reproduisez la stratégie de fichier de verrouillage du code applicatif : capturez la semver exacte qui a passé la fumée avant d'élargir la contrainte en production.
03. Sept étapes : sauvegarde, mise à niveau, doctor, Gateway, fumée modèle, canaux, retour arrière
- Sauvegarde : exécutez
openclaw backupou votre wrapper approuvé ; exportez le diffopenclaw.jsonmasqué ; capturez la liste des canaux et le graphe de plugins. - Mise à niveau : ne faites monter que le plan d'installation choisi vers v2026.4.14 ; retirez les shims globaux parasites qui masquent le démon.
- Baseline doctor : capturez explicitement les avertissements marqués « à corriger avant trafic » contre « à reporter ».
- Statut Gateway : vérifiez adresses de liaison, chaîne TLS, montées en grade WebSocket du reverse proxy ; rapprochez les secrets avec le guide Gateway + SecretRef.
- Fumée modèle : GPT-5.x en primaire et au moins un repli à froid avec un vrai appel d'outil ; rejouer un long flux Ollama.
- Régression canaux : interactions Slack et métadonnées forum Telegram ; confirmez allowFrom sur actions de blocs et modales.
- Créneau retour arrière : conservez l'archive précédente et la paire unité systemd ou fichier compose ; répétez une restauration en un clic en staging.
openclaw --version
openclaw doctor
openclaw gateway statusDocumentez le chemin binaire exact qui a répondu à chaque commande dans le pied de ticket ; les ingénieurs futurs vous remercieront lorsque l'ordre PATH changera silencieusement lors des mises à jour OS.
Entre fumée modèle et régression canaux, insérez une pause « espace négatif » de quinze minutes : redémarrez depuis un shell propre, relisez les variables d'environnement réellement exportées vers le démon, et confirmez qu'aucun tampon d'éditeur à demi enregistré n'a modifié openclaw.json sous vos pieds. Les nuits de mise à niveau marathon accumulent un état accidentel—clés API dupliquées, surcharges OPENAI_BASE_URL orphelines—qui déroute le prochain intervenant plus que le défaut d'origine.
Si vous automatisez les contrôles post-mise à niveau, gardez-les idempotents : des scripts qui mutent les canaux live à chaque exécution finiront par basculer un drapeau de production alors que vous vouliez seulement lire le statut.
04. Sécurité des outils Gateway et lignes rouges config.patch
v2026.4.14 rejette les séquences config.patch / config.apply qui basculeraient des drapeaux de sécurité dangereux. Si votre automatisation s'appuyait sur des bascules silencieuses à distance, migrez vers des PR revues ou des bundles signés. La résolution des pièces jointes échoue désormais de façon close lorsque les chemins locaux ne peuvent pas être canonisés, empêchant un élargissement accidentel des listes blanches racine.
Retestez les outils média avec des chemins style UNC et POSIX si vos agents montent des partages réseau ; le chemin fail-closed révèle des bogues de double barre oblique latents que les versions permissives masquaient.
Les journaux de rejet d'outils côté Gateway sont plus explicites ; ingérez-les dans votre SIEM si la politique exige une rétention au-delà de la rotation journald locale. Si vous ne pouvez pas transférer les journaux, au minimum compressez-les et joignez l'artefact au ticket de changement avant d'effacer l'hôte de banc.
05. Échelle de commandes : statut, journaux, doctor, canaux
Gardez le triage linéaire : gateway status → 200 dernières lignes de journal → doctor → ping canal unique → appel outil modèle unique. Lorsque les modèles disparaissent, inspectez le JSON du catalogue pour la présence de apiKey avant de toucher aux poids de route.
openclaw gateway status
# journalctl -u openclaw-gateway -n 200 # when under systemdPour les piles Docker Compose, associez cette échelle à la sémantique des healthchecks du runbook Compose production afin de ne pas chasser des bogues applicatifs pendant que le conteneur chauffe encore.
Lorsque les journaux montrent des alertes TLS intermittentes, capturez une fois la suite de chiffrement et les empreintes de certificat, puis comparez à une trace portable connue comme bonne ; les écarts pointent plutôt vers des intermédiaires manquants que vers une faible bande passante. Si IPv6 est partiellement déployé, testez des chemins IPv4 explicites pour écarter des routes dual-stack cassées avant de brûler une autre fenêtre de maintenance sur le routage des modèles.
06. Indicateurs et mythes
Lancez un inventaire léger avant de toucher aux binaires : énumérez chaque dépendance externe—hôtes de modèles, secrets de signature Slack, jetons de bot Telegram, bacs à sable d'outils PDF—et marquez celles qui exigent une approbation humaine pour rotation. Cet inventaire raccourcit le post-mortem sans blâme si quelque chose dérape encore après v2026.4.14, car les relecteurs voient le rayon d'explosion réellement testé contre ce qui restait théorique.
Lorsque vous répétez le routage GPT-5.x, capturez transcripts de succès et d'échec avec horodatage ; les anomalies de prix corrèlent souvent avec un décalage d'horloge ou des tentatives dupliquées plutôt qu'avec la famille de modèles. Si votre passerelle est derrière un proxy d'entreprise, alignez les magasins de confiance TLS entre le démon et votre shell interactif avant d'interpréter des rafales 403 comme des problèmes de quota.
- Indicateur 1 : environ 36 %–52 % des tickets « modèle manquant après mise à niveau » concernaient des champs du catalogue ou la synchro plutôt que des fautes de frappe dans les ID de modèle.
- Indicateur 2 : les longs flux Ollama représentaient auparavant environ 27 %–41 % des incidents de chute d'outil sur bancs self-hostés ; rejouez les charges après le correctif de timeout.
- Indicateur 3 : les contournements interactifs Slack se sont déclenchés dans environ 11 %–18 % des espaces de travail à forte densité de plugins la première semaine après durcissement des listes blanches—planifiez des tests de régression explicites.
Mythe A : « Doctor est vert, donc la production est sûre. » Mythe B : « GPT-5.x compatible avant signifie budget illimité. » Mythe C : « Corriger le réseau et le routage des modèles dans la même fenêtre de maintenance. »
Les équipes qui ont séparé « changement infra » et « changement de politique modèle » sur deux fenêtres ont réduit les retours arrière inattendus d'environ un quart dans des rétrospectives informelles 2025–2026—non parce qu'OpenClaw régressait moins, mais parce que les humains faisaient moins d'erreurs simultanées en lisant les journaux.
Terminez chaque fenêtre de maintenance par une ligne unique de propriétaire pour l'action suivante—même si c'est « figer la config jusqu'à stabilisation du catalogue fournisseur »—et liez le ticket dans votre canal d'incident pour la visibilité.
Les parties prenantes confondent souvent « Gateway joignable » avec « outils autorisés » ; publiez un modèle d'état léger—Joignable, Authentifié, Outil prêt, Canal vérifié—et limitez les battements de cœur bruyants pour que l'astreinte ne voie que les transitions.
07. Fumée Linux seule contre répétition Mac native en location
La fumée Linux seule est peu coûteuse mais manque les hypothèses de chemins bureau, les flux proches du trousseau et les comportements de pièces jointes visibles chez les équipes macOS d'abord. La fenêtre courte à moindre risque est en général macOS natif pour la répétition, puis promotion des mêmes fichiers compose ou unit vers Linux. La location à la journée compresse la dépense en espèces sur la fenêtre de répétition au lieu d'acheter du matériel pour un correctif mineur.
La discipline du banc compte autant que le choix d'OS : capturez le hachage du répertoire de travail, figez les mises à niveau de paquets hors sujet, et désactivez les mises à jour OS automatiques pendant la répétition. Rien n'érode la confiance dans un correctif mineur comme découvrir à mi-parcours qu'un correctif de sécurité macOS en arrière-plan a redémarré launchd entre votre doctor et votre fumée Gateway. Si vous devez accepter des mises à jour de plateforme, relancez toute l'échelle en sept étapes depuis la vérification de sauvegarde plutôt que de supposer des relances partielles équivalentes.
Enfin, documentez quels canaux étaient mis en sourdine versus entièrement désactivés pendant les tests ; des sourdines permanentes accidentelles ont causé plus de bruit de pagers que toute régression de v2026.4.14 elle-même, car les équipes en aval interprètent le silence comme une panne.
Pour une ergonomie prévisible et des dispositions alignées sur la documentation, la capacité Mac native reste plus fluide ; associez l'accès distant et les offres avec location versus essai local et coûts lorsque vous planifiez le banc.
Lorsque la direction demande s'il faut prolonger le banc d'un jour, cadrer la décision en coût marginal versus inconnues restantes—parité du catalogue, régression canaux, chemins des pièces jointes—et non en fierté de coût irrécupérable. Une journée supplémentaire propre est souvent moins chère qu'une fenêtre client manquée parce que les tests interactifs Slack ont été bâclés.