openclaw onboard tente d'ouvrir le callback navigateur 127.0.0.1:56121, impossible sans GUI sur l'hôte distant, et les journaux restent bloqués sur « en attente du callback OAuth ». OpenClaw v2026.5.20 (2026-05-21) introduit officiellement xAI Device-Code OAuth pour autoriser Grok entièrement en terminal. Ce guide décrit un chemin exécutable 2026 : matrice de décision entre trois modes d'authentification, runbook openclaw update, squelette Device-Code en six étapes, et liste de validation Node 22.19 plus santé Gateway après upgrade.
Cinq signatures mal comprises pour Grok sur Mac cloud headless
En 2026, le provider xAI d'OpenClaw prend en charge clé API, OAuth loopback navigateur et OAuth Device-Code. Confondre « SSH fonctionne » avec « OAuth Grok aboutit » provoque des réinstallations Gateway répétées alors que le blocage réel est souvent le mauvais mode d'authentification ou un Node inférieur à 22.19. v2026.5.20 corrige aussi openclaw update lorsque plusieurs installations Node faisaient basculer silencieusement le binaire du Gateway — sans passage doctor, les canaux peuvent rester « connectés » alors que les appels modèle renvoient 401. Classez d'abord le ticket par signature avant de basculer Device-Code, d'épingler le chemin Node ou de migrer vers un Mac cloud plus dimensionné.
OAuth navigateur sur Mac cloud sans GUI : le callback loopback exige un navigateur local sur 127.0.0.1:56121 ; une session SSH pure échoue — préférez --device-code ou xai-device-code à l'onboard.
Traiter le code court Device-Code comme clé API : Device-Code est un flux d'autorisation unique ; le jeton persiste dans le profil auth, pas dans openclaw.json en clair.
Upgrade v2026.5.20 sans vérifier la cohérence Node : cette version aligne service managé et CLI ; exécutez openclaw doctor et comparez le chemin Node du LaunchAgent plist.
OAuth réussi mais modèle par défaut reste OpenAI : après Device-Code, imposez openclaw models set xai/grok-4.3 (ou la variante Grok cible).
Grok cloud plus Ollama lourd sur 16 Go : le Gateway est léger, mais automatisation navigateur et tool calls parallèles saturent la RAM — réservez 24 Go ou séparez les rôles.
Ces signatures complètent la check-list SSH première heure et le guide Ollama hybride : la première couvre Node et baseline Gateway, cet article se concentre sur OAuth Grok v2026.5.20 et l'acceptation post-upgrade. Pour les tickets support, n'exportez que des extraits de journaux anonymisés : les lignes Gateway peuvent contenir des identifiants de chat issus des adaptateurs de canaux.
Clé API xAI, OAuth navigateur ou Device-Code OAuth ?
La documentation xAI précise que Grok OAuth s'adresse aux comptes éligibles SuperGrok ou X Premium, sans clé API développeur obligatoire. OpenClaw, Gateway local-first, stocke les jetons sur le Mac cloud ; les requêtes modèle sortent vers l'API xAI. Les trois voies diffèrent par l'interaction d'autorisation et l'adéquation headless, pas par les capacités Grok elles-mêmes.
| Dimension | Clé API | OAuth loopback navigateur | Device-Code OAuth (v2026.5.20+) |
|---|---|---|---|
| Cas d'usage | Clé développeur, automatisation batch | macOS/Windows avec GUI et navigateur | Mac cloud SSH, Docker, VPS sans GUI |
| Interaction | Variable d'environnement ou config | Ouverture auto 127.0.0.1:56121 | URL + code court en terminal, navigateur quelconque |
| Mac cloud headless | OK mais coût à l'usage | Port forward SSH ou VNC requis | Chemin recommandé |
| Stockage jeton | Clé statique | Profil xai/oauth | Identique, persistance après polling |
| Gateway 7×24 | Production mais coût variable | Pratique en local, peu adapté SSH pur | Aligné MESHLAUNCH six régions |
Sur Gateway production 7×24 en bare metal, Device-Code OAuth est la seule voie officielle Grok sans VNC ni tunnel loopback.
Si Ollama sert de repli local, Grok peut rester modèle cloud principal — voir le guide hybride pour le routage. Après OAuth, confirmez avec openclaw models list que xai/grok-4.3 est disponible et défini par défaut. Les équipes multi-région doivent documenter où tourne le profil auth : un backup/restore d'état Gateway sans profil xAI laisse les canaux verts mais les inférences muettes.
OpenClaw v2026.5.20 : upgrade et squelette Device-Code
Publiée le 2026-05-21, v2026.5.20 apporte xAI Device-Code OAuth (PR #84005), l'alignement Node CLI/Gateway lors d'installations multiples, et des corrections install.ps1 Windows. Depuis 2026.5.19, le plancher Node officiel est 22.19 — en dessous, doctor peut passer alors que le registre de plugins se comporte mal. Avant production : openclaw update --dry-run, fenêtre de maintenance, redémarrage Gateway et channels probe.
node -v openclaw update --dry-run openclaw update openclaw gateway restart openclaw onboard --install-daemon --auth-choice xai-device-code openclaw models auth login --provider xai --device-code openclaw models set xai/grok-4.3 openclaw doctor openclaw channels probe
Astuce : si le Gateway est déjà installé et seul Grok manque, sautez l'onboard complet et lancez models auth login --provider xai --device-code. Le terminal affiche URL xAI et code court ; autorisez dans un navigateur local pendant que SSH poll jusqu'à l'échange de jeton.
Device-Code et loopback peuvent afficher « Grok Build » sur la page de consentement — client OAuth xAI partagé, normal ; OpenClaw n'exige pas l'application Grok Build. Succès : profil xai/oauth dans le répertoire d'état, vérifiable via openclaw models auth list. Rollback : runbook update et dist-tag, puis doctor avant de rouvrir le trafic canal.
Runbook en six étapes : de l'upgrade à Grok opérationnel
Baseline Node 22.19 : node -v ≥ 22.19 ; multi-Node : which node versus chemin dans le plist LaunchAgent pour éviter la dérive binaire corrigée par v2026.5.20.
Dry-run upgrade : openclaw update --dry-run note version cible et plugins ; production : openclaw backup create --verify ou archive tar du répertoire d'état.
Upgrade et redémarrage : openclaw update → openclaw gateway restart → openclaw gateway status active ; openclaw --version = 2026.5.20.
Autorisation Device-Code : nouvelle install : onboard --install-daemon --auth-choice xai-device-code ; existant : models auth login --provider xai --device-code ; navigateur local pour URL et code.
Modèle par défaut et smoke : openclaw models set xai/grok-4.3 ; openclaw infer model run --local --model xai/grok-4.3 --prompt 'ping' ; openclaw doctor --fix pour dérive config.
Canaux et 7×24 : openclaw channels probe vert ; coupez SSH dix minutes, reprobe — LaunchAgent doit tenir ; archivez version, chemin Node et snapshot auth dans le runbook interne.
Chaque étape mérite une ligne de change : date, région, build, résultat probe. Les équipes distribuées gagnent en traçabilité quand l'onboarding Grok est séparé des incidents canal — deux fils de discussion, deux causes racines possibles. Après l'étape 06, un message entrant réel sur Telegram ou Discord confirme la chaîne complète modèle-canal, pas seulement l'inférence locale.
Trois seuils d'exploitation et choix du Mac cloud Gateway
Plancher Node : 2026.5.19+ impose Node 22.19 ; si install.sh a laissé un Node ancien, nvm install 22 ou upgrade système avant OpenClaw — sinon doctor et registry plugins divergent.
Timeout Device-Code : fenêtre de polling de quelques minutes ; session SSH idle qui coupe = échec — tmux ou mosh, autorisation navigateur avant de juger l'échec terminal.
Seuil mémoire : Gateway + Grok cloud reste modeste, mais browser automation et tool calls parallèles sur 16 Go provoquent swap — Gateway lourd : 24 Go ou M4 Pro ; bot canal léger : essai journalier 16 Go.
Note : seuils de communication interne, pas SLA éditeur. L'éligibilité OAuth xAI dépend de la politique compte xAI ; OpenClaw ne la contourne pas.
Ancrer Grok sur un portable réintroduit veille, réseau itinérant et callbacks OAuth injoignables. Un VPS Linux pur exécute Node mais s'éloigne de l'automatisation navigateur macOS. Mac cloud bare metal 7×24, Device-Code en SSH équilibre proximité toolchain Apple, discipline loopback et fenêtres de location prévisibles à Singapour, Tokyo, Séoul, Hong Kong, USA Est et Ouest. Pour des agents Grok par abonnement sans parier sur du matériel grand public, la location Mac mini MESHLAUNCH reste en général la base la plus sûre : validez la région cible en location journalière avec les six étapes plus un redémarrage hôte, puis verrouillez le mois. Capacité et commande : tarifs et centre d'aide.
Sans GUI, Device-Code recommandé. Avec VNC ou port forward 127.0.0.1:56121, OAuth navigateur reste valide. Voir check-list SSH première heure ; location : tarifs.
openclaw doctor et which node pour aligner service et CLI ; puis gateway status et channels probe. Rollback : runbook update.
Vérifiez modèle par défaut xai/grok-4.3, profil auth et couche canal. Dépannage : canal connecté sans réponse ; aide : centre d'aide.