Beim Wechsel von „läuft auf meinem Laptop“ zu „auditierbar in Produktion“ bleiben Teams oft an zwei Meldungen hängen: Unauthorized und No API key for provider. Sie gehören zur Gateway-Sitzungsschicht bzw. zur Anbieter-Credential-Schicht—unterschiedliche Fixes, unterschiedliche Dateien. Dieser Leitfaden liefert eine 2026-taugliche Mindest-Reihenfolge (gateway status → doctor → models auth), ein Sechs-Schritte-Runbook, eine Symptommatrix und eine Checkliste zur Credential-Isolation. Vor dem Go-Live zuerst den Artikel CVE-2026-25253 + Node-24-Produktionsbaseline abschließen.
Jeder Punkt spiegelt echte Fehlrouten aus dem Support—lesen Sie ihn, bevor Sie Befehle tippen.
Jedes Unauthorized als verlorenes Token werten: Proxies können Header entfernen; CLI-Caches leere Tokens halten; Browser blockieren WebCrypto ohne HTTPS.
Fehlende Provider-Keys dem Gateway anlasten: meist hat die Agent-Identität models auth nie erhalten oder systemd-User-Units exportieren keine Env-Vars.
Vor doctor neu installieren: verbirgt doppelte PATH-Binaries und Config-Drift—zuerst Hersteller-Triage.
Entwickler-Keys in CI kopieren: bricht Least Privilege und Rotation; pro Runner eigene Identität ausstellen.
127.0.0.1 + Tailscale ignorieren: Remote-CLI löst Tokens und DNS anders auf—beide Seiten prüfen.
On-Disk-Validierung überspringen: ohne config:validate (oder Äquivalent) entstehen falsch negative „Befehl ok, Prozess liest nicht“.
| Symptom | Zuerst prüfen | Erster Befehl | Nächster Schritt |
|---|---|---|---|
| 401 / Unauthorized (CLI oder WebSocket) | Gateway-Sitzung | openclaw gateway status | openclaw doctor; Gateway-Token bei Bedarf rotieren |
| Fehlender API-Key vor Modellaufruf | Provider-Creds | openclaw models status | openclaw models auth setup-token … mit korrektem Agent-Scope |
| Flatternder Erfolg | Doppelte Identität/Konfig | which openclaw + User-Service-Env | PATH und systemd-Environment= angleichen |
| Nur Remote-CLI scheitert | Tunnel / Token-Propagation | 127.0.0.1 lokal erneut testen | Tailscale Serve und HTTPS-Anforderungen prüfen |
„Zuerst klassifizieren, dann eingreifen“—dieselbe Unauthorized-Zeichenkette braucht auf Gateway- vs. Provider-Pfaden andere Maßnahmen.
Zustand einfrieren: exakten Fehlertext, Zeit, User/Agent-ID erfassen—Token und Provider-Keys nicht gleichzeitig ändern.
Gateway-Minimum:openclaw gateway status → openclaw doctor; fehlendes Token laut Herstellerdoku neu erzeugen.
Auf der Platte validieren: Rechte müssen zum Gateway-User passen; User-Service nach Änderungen neu starten.
Zur Provider-Spur wechseln:openclaw models status, dann models auth setup-token; keine Secrets in geteilter Shell-History.
Credentials isolieren: pro Agent/Umgebung Key-Material oder Secret-Manager-Referenzen; world-readable Verzeichnisse in Prod verbieten.
Audit-Spur: Rotationsfenster, Blast Radius und Rollback-Punkte im Change-Ticket festhalten.
openclaw gateway status openclaw doctor openclaw models status # openclaw models auth setup-token --provider anthropic # gemäß offizieller Doku ausfüllen
Hinweis: Bei systemd-User-Services Provider-Env-Vars in der Unit-Datei setzen—nicht nur in interaktiven Shells exportieren.
Warnung: Volle Tokens/API-Keys niemals in öffentliche Tickets; Fingerabdruck mit ersten/letzten vier Zeichen.
Ein Gateway auf schlafendem Laptop erzeugt durch Thermik- und Energierichtlinien intermittierende Auth-Fehler. Ein dedizierter, immer-an-macOS-Knoten passt besser zu produktiven Agent-Gateways. Wenn Sie VPS-ähnliche Mac-Kapazität mit SSH-Wartung und auditfreundlichen Images brauchen, ist NodeMini Mac Mini Cloud-Miete oft die passendere Wahl—im Einklang mit Remote-Modus- und Tailscale-Artikeln.
Nicht immer—Abschnitt 2 nutzen, dann gateway status und doctor. Weitere OpenClaw-Beiträge: Blog-Filter OpenClaw.
Vermeiden—Identitäten und Rotation trennen. Kapazität: Mac-Mini-Mietpreise.
Zuerst PATH/Binary-Split und systemd-Env-Drift prüfen, dann dieses Runbook erneut ausführen. Hilfe: Hilfezentrum.