openclaw onboard 預設嘗試開啟 127.0.0.1:56121 瀏覽器回呼,無 GUI 的遠端 Mac 無法完成授權,日誌停在「等待 OAuth 回呼」。OpenClaw v2026.5.20(2026-05-21)正式引入 xAI Device-Code OAuth,可在純終端完成 Grok 登入。本文給出 2026 年可執行路徑:三種鑑權方式決策矩陣、openclaw update 升級 Runbook、Device-Code 六步骨架,以及升級後 Node 22.19 與 Gateway 健康驗收清單。
無頭雲端 Mac 上 Grok 鑑權最常見的五條誤判簽名
OpenClaw 在 2026 年的 xAI Provider 同時支援 API Key、瀏覽器 Loopback OAuth 與 Device-Code OAuth 三條路徑。雲端 Mac 維運若把「能 SSH 登入」等同於「能完成 Grok 授權」,就會在首小時反覆重裝 Gateway,而真正阻塞點往往是鑑權方式選錯或Node 版本低於 22.19。v2026.5.20 還修復了 openclaw update 在多 Node 安裝環境下 Gateway 靜默切換二進位的問題——升級後若跳過 doctor 驗收,頻道可能「已連線但模型呼叫 401」。建議變更單先勾選簽名編號,再決定是切換 Device-Code、釘選 Node 路徑,還是把 Gateway 遷到規格更高的雲端 Mac。
在無 GUI 雲端 Mac 上仍選瀏覽器 OAuth:Loopback 回呼依賴本機瀏覽器開啟 127.0.0.1:56121;純 SSH 工作階段無法完成,應改用 --device-code 或 xai-device-code onboard 選項。
把 Device-Code 短碼當成 API Key 寫入 config:Device-Code 是一次性授權流程,完成後 Token 存入 auth profile;不應把驗證碼字串硬編碼進 openclaw.json。
升級 v2026.5.20 後未驗證 Node 一致性:該版本修復 Gateway 與 CLI 使用不同 Node 二進位的問題;升級後必須 openclaw doctor 並核對 managed service 的 Node 路徑。
OAuth 成功但預設模型仍是 OpenAI:Device-Code 完成後需 openclaw models set xai/grok-4.3(或目標 Grok 型號),否則 Agent 仍路由到舊 Provider。
在 16GB 雲端 Mac 上同時跑 Grok 雲端推理與本地 Ollama 重模型:Gateway 本身輕量,但瀏覽器自動化與並行工具呼叫會頂滿記憶體;應參照規格分水嶺表選 24GB 或分機。
以上簽名與站內《無頭 SSH 首小時驗收清單》《Ollama 混合模型 Provider 指南》形成互補:首小時解決 Node 與 Gateway 基線,本文聚焦 v2026.5.20 的 Grok OAuth 新能力與升級驗收。兩篇連讀即可覆蓋從首裝到 Grok 正式上線的完整路徑。
xAI API Key、瀏覽器 OAuth 與 Device-Code OAuth 怎麼選?
xAI 官方文件明確:Grok OAuth 面向具備 SuperGrok 或 X Premium 訂閱資格的帳戶,無需單獨購買 API Key。OpenClaw 作為 local-first Gateway,鑑權 Token 保存在雲端 Mac 狀態目錄,模型請求經 xAI API 出站。三種方式的差異在於授權互動形態與無頭環境適配度,而非 Grok 模型能力本身。
| 維度 | API Key | 瀏覽器 Loopback OAuth | Device-Code OAuth(v2026.5.20+) |
|---|---|---|---|
| 適用情境 | 已有 xAI 開發者 Key、批次自動化 | 本機 macOS/Windows 有 GUI、可開瀏覽器 | SSH 雲端 Mac、Docker、VPS 無 GUI |
| 互動方式 | 環境變數或 config 寫入 Key | 自動開啟 127.0.0.1:56121 回呼 | 終端列印 URL + 短碼,任意裝置瀏覽器授權 |
| 無頭雲端 Mac | 可行但需付費 Key | 需 SSH 埠轉發或 VNC | 推薦預設路徑 |
| Token 儲存 | 靜態 Key | xai/oauth auth profile | 同左,輪詢完成後自動持久化 |
| 與雲端 Mac Gateway | 適合生產但成本隨呼叫量成長 | 首裝方便,不適合純 SSH 維運 | 與 MESHLAUNCH 六區裸金屬 7×24 Gateway 最匹配 |
生產 Gateway 在裸金屬雲端 Mac 上 7×24 執行時,Device-Code OAuth 是唯一不需要 VNC 也能完成 Grok 訂閱鑑權的官方路徑。
若團隊已用 Ollama 做本地回落,Grok 可作為雲端主模型:路由策略見混合 Provider 文,本文不重複模型切換全文。關鍵是 OAuth 完成後用 openclaw models list 確認 xai/grok-4.3 處於可用且預設狀態。
實務上,Device-Code 最適合「Gateway 在機房、人在辦公室或家裡」的分工:SSH 連上雲端 Mac 啟動授權,手機或筆電瀏覽器完成 xAI 登入,Token 寫回遠端狀態目錄後即可斷線。這與 API Key 寫進環境變數相比,輪替與撤銷更直觀——撤銷 xAI 側授權後重新跑 Device-Code 即可,無需在多台伺服器同步 Key 輪替。對已有 SuperGrok 訂閱、又不想把訂閱綁在會睡眠的開發機上的團隊,這是 2026 年最省維運摩擦的路徑。
OpenClaw v2026.5.20 升級與 Device-Code 命令骨架
v2026.5.20 於 2026-05-21 發布,核心變更包括:xAI Device-Code OAuth(PR #84005)、CLI/update 在多 Node 環境下保持 managed Gateway 使用同一 Node 二進位、Windows install.ps1 精靈渲染修復。2026.5.19 起官方將 Node.js 最低版本提升至 22.19,低於該線的環境可能在 doctor 通過但外掛載入異常。升級前建議 openclaw update --dry-run 預覽變更,並在變更視窗內完成 Gateway 重啟與 channels probe。
node -v openclaw update --dry-run openclaw update openclaw gateway restart openclaw onboard --install-daemon --auth-choice xai-device-code openclaw models auth login --provider xai --device-code openclaw models set xai/grok-4.3 openclaw doctor openclaw channels probe
提示:若 Gateway 已安裝且僅需補 Grok 鑑權,可跳過完整 onboard,直接執行 models auth login --provider xai --device-code。Device-Code 流程會列印 xAI 驗證 URL 與短碼,在任意本地瀏覽器完成授權,SSH 終端保持輪詢直至 Token 交換成功。
Device-Code 與 Loopback OAuth 的 consent 頁可能顯示 Grok Build 字樣——這是 xAI 共用 OAuth 用戶端的正常現象,OpenClaw 文件明確不要求安裝 Grok Build 應用程式。授權成功後狀態目錄會產生 xai/oauth auth profile,可用 openclaw models auth list 驗證。若需回退版本,對照站內《update 發布渠道與回滾 Runbook》釘選 dist-tag 後再做 doctor。
升級窗口建議預留 30–45 分鐘:除 openclaw update 本身,還需等待 LaunchAgent 重載、channels probe 全綠,以及一次 Grok 試推理。若團隊同時維護 Telegram 與 Discord 等多頻道,可在低峰時段先對單一測試頻道 probe,再逐步放開全量流量。多 Node 環境務必截圖 which node 與 plist 內 ProgramArguments 的 Node 路徑,作為 v2026.5.20 修復是否生效的證據鏈。
六步 Runbook:從升級到 Grok 可用 + Gateway 驗收
以下六步假設 Gateway 已在裸金屬雲端 Mac 上以 LaunchAgent 常駐,且 SSH 可達。新裝與「僅補 Grok 鑑權」在步驟 04 分叉;其餘步驟相同。建議用 tmux new -s grok-oauth 包裹整段流程,避免 Device-Code 輪詢中途斷線。
Node 22.19 基線驗收:執行 node -v,確認 ≥ 22.19;多 Node 環境用 which node 與 LaunchAgent plist 內 Node 路徑對照,避免 v2026.5.20 修復前的二進位漂移復發。
乾跑升級:openclaw update --dry-run 記錄目標版本與外掛變更;生產 Gateway 選低流量視窗,先 openclaw backup create --verify(或 tar 狀態目錄)。
執行升級並重啟 Gateway:openclaw update → openclaw gateway restart → openclaw gateway status 確認 active;核對 openclaw --version 為 2026.5.20。
Device-Code Grok 授權:新裝走 onboard --install-daemon --auth-choice xai-device-code;已有 Gateway 走 models auth login --provider xai --device-code;在本地瀏覽器開啟終端列印的 URL 輸入短碼。
預設模型與探活:openclaw models set xai/grok-4.3;openclaw infer model run --local --model xai/grok-4.3 --prompt 'ping' 驗證推理鏈路;再跑 openclaw doctor --fix 處理 config 漂移。
頻道與 7×24 驗收:openclaw channels probe 全綠;斷開 SSH 等待 10 分鐘再 probe,確認 LaunchAgent 守護有效;記錄版本、Node 路徑與 auth profile 快照入 Runbook。若 probe 偶發紅燈,先查 Gateway 日誌而非重跑 OAuth——多數情況是頻道 token 或網路抖動,與 Grok 鑑權無關。
三條值班硬閾值與六區雲端 Mac Gateway 規格對照
Node 版本紅線:官方 2026.5.19+ 強制 Node 22.19 地板;雲端 Mac 首裝若 install.sh 拉取的 Node 偏舊,應在升級 OpenClaw 前先 nvm install 22 或系統級升級,否則 doctor 與外掛 registry 行為不一致。
Device-Code 逾時閾值:輪詢視窗通常數分鐘;若 SSH 工作階段因 idle 斷開導致授權失敗,應使用 tmux 或 mosh 保持終端,並在本地瀏覽器完成驗證後再觀察終端輸出。
記憶體分水嶺:Gateway + Grok 雲端推理本身占用 modest,但 OpenClaw 瀏覽器自動化與並行 tool call 在 16GB 雲端 Mac 上易觸發 Swap;建議重任務 Gateway 選 24GB 或 M4 Pro 檔,輕量頻道 Bot 可 16GB 日租試跑。
注意:閾值為值班溝通口徑,不構成廠商 SLA。xAI OAuth 資格由 xAI 帳戶策略決定,OpenClaw 無法繞過。
把 Grok Gateway 綁在本地筆電上,會重新引入睡眠、漫遊網路與 OAuth 回呼不可達;純 Linux VPS 雖可跑 Node,卻與 macOS 瀏覽器自動化工具鏈脫節。若 Gateway 需要 browser 類工具或 macOS 專屬頻道外掛,裸金屬雲端 Mac 的鄰近性優勢更明顯——這也是 MESHLAUNCH 六區選型表把「重自動化 Bot」對應到 24GB 檔的原因之一。
以裸金屬雲端 Mac 為 7×24 Gateway、SSH 完成 Device-Code 授權,能在 Apple 生態鄰近性、loopback 安全紀律與可預測換租視窗之間取得平衡。對要 Grok 訂閱驅動 Agent、又不願賭消費級硬體在線率的團隊,MESHLAUNCH 的 Mac Mini 雲端租用通常是更優解:建議目標城區日租先完整跑通六步與一次 Gateway 重啟,再鎖月租。容量與下單見 租用價格 與 雲端說明中心。
先 openclaw doctor 與 which node,確認 managed service Node 與 CLI 一致;再 gateway status 與 channels probe。回滾見 update 回滾 Runbook。