openclaw onboard versucht standardmäßig einen Browser-Callback auf 127.0.0.1:56121 – auf headless Hosts ohne GUI endet das in „Warte auf OAuth-Callback“. OpenClaw v2026.5.20 (2026-05-21) bringt xAI Device-Code OAuth, mit dem Grok rein im Terminal autorisiert wird. Dieser Artikel liefert den 2026-ausführbaren Pfad: Entscheidungsmatrix für drei Auth-Wege, Upgrade-Runbook via openclaw update, Device-Code in sechs Schritten sowie Node-22.19- und Gateway-Gesundheitschecks nach dem Update.
Die fünf häufigsten Fehldeutungen bei Grok-Auth auf headless Cloud-Macs
Der xAI-Provider in OpenClaw 2026 unterstützt API-Key, Browser-Loopback-OAuth und Device-Code OAuth. Wer „SSH funktioniert“ mit „Grok-Auth erledigt“ verwechselt, reinstalliert Gateway in der ersten Stunde mehrfach – der echte Blocker ist meist falscher Auth-Modus oder Node unter 22.19. v2026.5.20 behebt zudem, dass openclaw update bei mehreren Node-Installationen still das Gateway-Binary wechselte. Ohne doctor danach wirken Kanäle verbunden, Modellaufrufe liefern 401. Ordnen Sie Change-Tickets zuerst einer Signatur zu, bevor Sie Device-Code aktivieren, Node-Pfade pinnen oder auf größere Cloud-Macs migrieren.
Browser-OAuth auf GUI-losen Cloud-Macs: Loopback braucht lokalen Browser auf 127.0.0.1:56121. Reines SSH reicht nicht – nutzen Sie --device-code oder xai-device-code beim Onboard.
Device-Code-Kurzcode als API-Key in config: Device-Code ist ein einmaliger Flow; Tokens landen im auth profile. Den Verifizierungscode nicht in openclaw.json hardcoden.
Keine Node-Konsistenz nach v2026.5.20: Gateway und CLI müssen dasselbe Node-Binary nutzen. Nach Update openclaw doctor und managed-Service-Pfad prüfen.
OAuth ok, Standardmodell bleibt OpenAI: Nach Device-Code openclaw models set xai/grok-4.3 (oder Ziel-Grok) setzen, sonst routet der Agent weiter zum alten Provider.
Grok plus schwere Ollama-Modelle auf 16-GB-Cloud-Mac: Gateway ist leicht, Browser-Automation und parallele Tool-Calls füllen RAM – 24 GB oder getrennte Hosts erwägen.
Diese Signaturen ergänzen die SSH-Erststunden-Checkliste und den Ollama-Hybrid-Provider-Guide: Erststunde für Node- und Gateway-Baseline, dieser Artikel für v2026.5.20 Grok-OAuth und Upgrade-Abnahme. OAuth-Tokens und auth profiles liegen im Zustandsverzeichnis auf dem Cloud-Mac – für DSGVO-Verarbeitungsverzeichnisse dokumentieren Sie, welche Personen xAI-Anfragen auslösen können und wie lange Refresh-Tokens aufbewahrt werden, bevor Sie Logs mit Auth-Metadaten in US-Ticketsysteme exportieren.
API-Key, Browser-OAuth oder Device-Code – Entscheidungsmatrix
Laut xAI-Dokumentation richtet sich Grok OAuth an Konten mit SuperGrok- oder X-Premium-Berechtigung – ohne separaten API-Key-Kauf. OpenClaw als local-first Gateway speichert Auth-Tokens im Cloud-Mac-State; Inferenz geht an die xAI-API. Die drei Wege unterscheiden sich in Interaktionsform und Headless-Tauglichkeit, nicht in Grok-Fähigkeiten.
| Dimension | API-Key | Browser Loopback OAuth | Device-Code OAuth (v2026.5.20+) |
|---|---|---|---|
| Szenario | Dev-Key, Batch-Automation | macOS/Windows mit GUI | SSH Cloud-Mac, Docker, VPS ohne GUI |
| Interaktion | Env oder config | Auto-Callback 127.0.0.1:56121 | Terminal-URL + Kurzcode, Browser beliebiges Gerät |
| Headless Cloud-Mac | Möglich, kostenpflichtiger Key | SSH-Forward oder VNC nötig | Empfohlener Standard |
| Token-Speicher | Statischer Key | xai/oauth auth profile | Gleich, nach Polling persistiert |
| Cloud-Mac Gateway | Produktion, Kosten skalieren mit Calls | Erstsetup bequem, schlecht für reines SSH | Best fit für MESHLAUNCH 7×24 in sechs Regionen |
Auf Bare-Metal-Cloud-Macs im Dauerbetrieb ist Device-Code OAuth der einzige offizielle Weg, Grok-Abo-Auth ohne VNC abzuschließen.
Teams mit Ollama-Fallback können Grok als Cloud-Hauptmodell wählen – Routing siehe Hybrid-Guide. Nach OAuth openclaw models list prüfen, ob xai/grok-4.3 verfügbar und default ist. Bei gemischten EU-Teams: xAI-Verarbeitung kann personenbezogene Prompt-Inhalte betreffen; klären Sie Auftragsverarbeitung und Datenübermittlung in Drittstaaten im Verzeichnis der Verarbeitungstätigkeiten, unabhängig davon, ob Sie API-Key oder OAuth nutzen.
Upgrade v2026.5.20 und Device-Code-Befehlsgerüst
v2026.5.20 erschien am 2026-05-21 mit xAI Device-Code OAuth (PR #84005), Fix für Gateway/CLI-Node-Drift bei mehreren Installationen und Windows-install.ps1-Rendering. Ab 2026.5.19 gilt Node.js-Minimum 22.19 – darunter kann doctor grün sein, Plugins dennoch scheitern. Vor dem Update openclaw update --dry-run, im Wartungsfenster Gateway-Neustart und channels probe.
node -v openclaw update --dry-run openclaw update openclaw gateway restart openclaw onboard --install-daemon --auth-choice xai-device-code openclaw models auth login --provider xai --device-code openclaw models set xai/grok-4.3 openclaw doctor openclaw channels probe
Tipp: Bestehendes Gateway ohne Voll-Onboard: nur models auth login --provider xai --device-code. URL und Kurzcode im Terminal, Autorisierung im lokalen Browser, SSH-Terminal pollt bis Token-Tausch.
Consent-Seiten können „Grok Build“ zeigen – normal für xAIs Shared OAuth Client; OpenClaw verlangt keine Grok-Build-App. Erfolg erzeugt xai/oauth im State – prüfen mit openclaw models auth list. Rollback: Update-Kanal und Rollback-Runbook, dist-tag pinnen, doctor erneut. Archivieren Sie vor dem Upgrade Screenshots von which node und plist-Pfaden – erleichtert Post-Mortems ohne vollständige Token-Exports in Tickets.
In heterogenen Umgebungen mit nvm, Homebrew-Node und systemweitem Node dokumentieren Sie explizit, welches Binary der LaunchAgent plist referenziert. v2026.5.20 adressiert das Drift-Problem, ersetzt aber keine einmalige Abnahme nach jedem OS-Patch. Wenn mehrere Entwickler nacheinander Device-Code auf demselben Gateway ausführen, rotieren Sie alte auth profiles bewusst – verwaiste Tokens erschweren Support und können bei DSGVO-Löschbegehren unklare Restbestände hinterlassen.
Sechsstufiges Runbook: Upgrade bis Grok live und Gateway-Abnahme
Node-22.19-Baseline: node -v ≥ 22.19. Bei mehreren Nodes which node gegen LaunchAgent-plist abgleichen – Drift wie vor v2026.5.20 vermeiden.
Dry-Run-Upgrade: openclaw update --dry-run protokollieren. Produktion: Low-Traffic-Fenster, vorher openclaw backup create --verify oder State-tar.
Update und Gateway-Neustart: openclaw update → openclaw gateway restart → openclaw gateway status active. Version 2026.5.20 bestätigen.
Device-Code Grok: Neu: onboard --install-daemon --auth-choice xai-device-code. Bestehend: models auth login --provider xai --device-code. URL lokal öffnen, Code eingeben.
Default-Modell und Inferenz: openclaw models set xai/grok-4.3, dann openclaw infer model run --local --model xai/grok-4.3 --prompt 'ping'. openclaw doctor --fix für Config-Drift.
Kanäle und 7×24: openclaw channels probe grün. SSH trennen, 10 Minuten warten, erneut probe – LaunchAgent hält. Version, Node-Pfad, auth-Snapshot ins Runbook.
Jeder Schritt verdient Ticket-Felder: Datum, Region, Ergebnis. So trennen Sie später Auth-, Versions- und Kanal-Störungen. Nach Schritt 06 empfiehlt sich ein Belastungstest: echte Kanalnachricht plus Tool-Call mit längerer Laufzeit, Speicher auf dem Cloud-Mac beobachten. Teilen Sie Runbook-Screenshots intern mit Datenminimierung – keine vollständigen Gateway-Logs mit Nutzer-Handles in öffentliche Slack-Kanäle, DSGVO-konforme Aufbewahrungsfristen einhalten.
Drei Betriebsschwellen und Cloud-Mac-Gateway-Auswahl in sechs Regionen
Node-Rot: Ab 2026.5.19 Pflicht Node 22.19. Erstinstallation: bei altem Node aus install.sh vor OpenClaw-Upgrade nvm install 22 oder System-Upgrade.
Device-Code-Timeout: Polling-Fenster oft Minuten. SSH-Idle trennt Session – tmux oder mosh, Browser-Auth lokal, dann Terminal beobachten.
RAM-Schwelle: Gateway plus Grok-Cloud-Inferenz ist modest; Browser-Automation und parallele Tools auf 16 GB triggern Swap. Schweres Gateway: 24 GB oder M4 Pro; leichte Bots: 16 GB Tagesmiete testen.
Hinweis: Schwellen sind interne Leitplanken, kein Hersteller-SLA. xAI-OAuth-Berechtigung folgt Kontorichtlinien – OpenClaw kann das nicht umgehen.
Grok-Gateway auf dem Entwickler-Laptop bindet Schlaf, Roaming und OAuth-Callback-Probleme zurück. Reine Linux-VPS entkoppeln von macOS-Browser-Automation. Bare-Metal-Cloud-Mac als 7×24-Gateway, Device-Code per SSH vereint Apple-Ökosystem-Nähe, Loopback-Disziplin und planbare Mietfenster in Singapur, Tokio, Seoul, Hongkong, USA Ost und West. Für Grok-Abo-Agenten ohne Consumer-Hardware-Risiko ist MESHLAUNCH Mac-Mini-Miete meist die bessere Basis: Zielregion per Tagesmiete den sechs Schritten plus einem Gateway-Neustart unterziehen, dann Monatsmiete.
Kapazität: Kanäle mit schweren Tools eher 24 GB als 16 GB. Regionwechsel über backup/restore statt manuellem JSON-Kopieren. Bei DSGVO-Audits zeigen Sie dokumentierte auth-profile-Rotation und begrenzte Log-Exports – OAuth erleichtert keinen Wildwuchs an API-Keys, ersetzt aber nicht Transparenz gegenüber Betroffenen, wenn Prompts personenbezogene Daten enthalten. Für interne Schulungen empfiehlt sich ein Ablaufdiagramm: Wer darf Device-Code auslösen, wo liegen Refresh-Tokens, wann werden sie widerrufen. Bestellen und Support: Mietpreise und Hilfezentrum.
Ohne GUI Device-Code empfohlen. Mit VNC oder 127.0.0.1:56121-Forward bleibt Browser-OAuth möglich. Siehe SSH-Erststunden-Checkliste; Miete: Preise.
openclaw doctor und which node – managed Service und CLI müssen übereinstimmen. Dann gateway status und channels probe. Rollback: Update-Rollback-Runbook.
Default-Modell xai/grok-4.3, auth profile vorhanden, Kanal-Schicht separat prüfen. Kanäle: verbunden ohne Antwort; Hilfe: Hilfezentrum.