OpenClaw 2026.3.x lädt optionale Fähigkeiten in Docker mit strengeren Schema-Prüfungen, klar abgegrenzter Sandbox und Plugins, die statt reiner-stdio-Helfer nun HTTP-geroutete Oberflächen bereitstellen können. Die meisten Regressionen sind kleine Diskrepanzen: eine veraltete setupCommand-Form, ein impliziter Default für OPENCLAW_SANDBOX oder Routing-Tabellen, die noch auf Pfade vor der Migration zeigen. Dieses Runbook ordnet die Arbeit als: validieren → Umgebungsschalter → setupCommand → HTTP-Routen → doctor. Für Rechte-Minimalisierung und onboard → doctor → fix auf denselben Dateien siehe
2026 OpenClaw-Konfiguration mit Minimalrechten: openclaw.json, ClawHub-Skills, plugins.entries und reproduzierbare doctor-Runbooks.
Lokaler Dauerbetrieb auf Apple Silicon mit launchd, Node-Pfaden und doctor-Triage ergänzt das Bild in
OpenClaw auf macOS (Apple Silicon): TCC, State, Node 24, Gateway-Autostart und doctor — inklusive Offload schwerer Xcode-Jobs.
1. Vor jedem Image-Wechsel immer config validate ausführen
Validieren Sie openclaw.json (und per Compose eingebundene Fragmente) mit denselben Pfaden, die der Container sieht, bevor Sie das Image anheben. Mounten Sie Geheimnisse und optionale Includes exakt wie in Produktion; validiert man eine flache Datei aus einem Entwickler-Downloads-Ordner, verschwinden Schlüssel, die nur in CI existieren. Lassen Sie die Pipeline bei Exit-Code ungleich null scheitern — analog zu Kubernetes-Manifesten —, hängen Sie den maschinenlesbaren Bericht an die Änderungsanforderung und erst dann promoten Sie den Tag. Teilen Sie die Arbeit so auf, dass ein PR die JSON anpasst und ein Folge-PR das Image hebt; Rollbacks bleiben so nachvollziehbar, wenn zur Laufzeit dennoch etwas kippt.
2. OPENCLAW_SANDBOX in Compose und CI explizit schalten
Setzen Sie OPENCLAW_SANDBOX=true|false in jedem Profil explizit — Dev-Overrides, Staging-Compose, Produktions-Stacks sowie GitHub Actions- oder Buildkite-Matrizen — damit Laptops, geplante Jobs und einmalige docker compose run-Shells übereinstimmen. Implizite Defaults erzeugen „lokal grün, in CI rot“, wenn Plugins unter strengeren Pfaden die erwartete Dateisicht verlieren. Müssen Sie die Sandbox kurz lockern, kapseln Sie das hinter einem benannten Compose-Profil oder einem branch-spezifischen Workflow, damit die Ausnahme nicht unbemerkt auf main verweilt.
3. setupCommand normalisieren, damit Lifecycle-Hooks deterministisch bleiben
Strukturierte setupCommand-Einträge mit festem Arbeitsverzeichnis und nicht-interaktiver Shell bevorzugen; verketten Sie keine cd-Ketten, die vom Image-Layout abhängen, entdoppeln Sie Hooks und verlagern Sie Paketinstallationen nach Möglichkeit in den Image-Build. Ein set -euo pipefail-Skript plus protokollierte Semver-Zeile verhindert, dass Health-Checks Setup zwischen 2026.2.x und 2026.3.x unvorhersehbar erneut anstoßen.
4. Plugin-HTTP-Routen: Pfade migrieren, dann Streamable HTTP proben
Wenn ein Plugin auf HTTP wechselt, ändern Sie Manifest, Gateway-Routenpräfix und Path-Stripping am Reverse-Proxy in einem PR — halbe Migrationen vermeiden. Nach dem Deploy: curl aus dem Container-Netz, dann von einem Tailnet-Peer, um Bind-Adressfehler von ACL- oder MagicDNS-Problemen zu trennen. Vergleichen Sie Statuscodes und TLS-Fehler je Hop — ein 401 am Proxy ist nicht dasselbe wie ein Verbindungsabbruch hinter einem Idle-Timeout. Streamable-Timeouts oder ENOENT deuten oft auf PATH- oder Arbeitsverzeichnis-Drift zwischen stdio- und HTTP-Workern; probieren Sie dieselbe Tool-Invocation über beide Transporte. Vertiefung:
OpenClaw MCP: stdio versus Streamable HTTP, Tool-Timeouts und ENOENT-Fehlersuche.
5. Doctor-gestützte Triage: den Suchraum geordnet verkleinern
Führen Sie doctor erst auf dem neuen Image aus, nachdem die Validierung grün ist — sonst verbrennen Sie Zeit an Netzwerk-Geistern. Gehen Sie bei jedem Vorfall dieselbe Reihenfolge ab: State-Volume-Berechtigungen sowie SELinux- oder AppArmor-Labels falls zutreffend, Port-Kollisionen mit Sidecars, Plugin-Registrierung gegen die live Route-Tabelle, danach ausgehendes DNS, firmenweite TLS-Inspektion und HTTP-Proxies. Speichern Sie stdout im Ticket, damit die nächste Person dieselbe Form sieht; wenn doctor einen HTTP-Mismatch meldet, korrigieren Sie zuerst Routen und Präfixe, starten Sie doctor neu und erst dann heben Sie Gateway-Log-Level an.
- Stimmen Volume-UID/GID mit dem Container-User überein?
- Entspricht
OPENCLAW_SANDBOXzwischen Shell und CI? - Sind Legacy-stdio-Plugin-Einträge entfernt, damit HTTP-Routen nicht doppelt existieren?
6. Remote-Hoch-RAM-Mac: isolierter Rebuild neben CI
Schwere native Rebuilds auf einen zweiten Hoch-RAM-Mac auslagern: sauberer Clone, dieselbe Node-Major wie in Prod, Lockfile-Install, dann dieselben Validate- und doctor-Schritte wie im Docker-Stack. Halten Sie diesen Host nach Möglichkeit vom Standard-Self-Hosted-Pool fern — ein Worktree mit einem Runner, der ständig node_modules löscht, erzeugt flaky Kompilate, die als OpenClaw-Bugs tarnen. Bevorzugen Sie Wartungsfenster oder Runner-Labels, damit Burst-Rebuilds nicht mit PR-Spitzen kollidieren; DerivedData und Temp-Verzeichnisse auf demselben Rhythmus wie CI bereinigen, damit Plattenknappheit beide Rollen nicht aushungert. Warteschlangen und Kaltstart:
Große Repos, blobless Git, CocoaPods/SwiftPM und Warteschlangen-Isolation auf Mac-CI.
Hybrid-Routing zwischen verwalteten Cloud-Minuten und dedizierten Miet-Macs:
Unternehmens-iOS-CI: Xcode Cloud versus gemietete Macs — Multi-Repo, Archive, Compliance.
Warum Mac-mini-Klasse diesen Split weiter trägt
Validierung und Sandbox-Flags fangen Konfigurationsfehler früh; native Rebuilds und große Caches profitieren weiter von Apple-Silicon-Bandbreite und dem Unix-Stack von macOS plus Gatekeeper, SIP und FileVault für unbeaufsichtigte Hosts. Rechner der Mac-mini-Klasse verbrauchen im Leerlauf sehr wenig Energie und bleiben unter Dauerlast leise — ein pragmatischer Overflow-Knoten neben Docker-Gateways. Wenn Sie dedizierte Hoch-RAM-Kapazität ohne Laptop-Schlafmodus wollen, vergleichen Sie Regionen auf der Macstripe-Startseite und dimensionieren Sie einen Mac mini M4, damit Rebuild-Fenster nicht mehr mit Ihrer CI-Warteschlange ringen. Wenn Sie dieses Setup auf ruhiger, stabiler Hardware ausrollen möchten, holen Sie sich jetzt einen Mac mini M4 und entkoppeln Sie Gateway-Docker von nativen Compile-Spitzen.
