2026 OpenClaw 本番認証トラブルシュート:
Unauthorized、トークン、プロバイダ API Key の責務分離

OpenClaw を「手元では動く」から「本番で監査できる」まで進めると、多くのチームが UnauthorizedNo API key for provider の 2 行で足止めされます。前者は Gateway セッション層、後者は モデルプロバイダの資格情報層で、直すべきコマンドとファイルがまったく違います。本稿では 2026 年時点の最小切り分け順(gateway statusdoctormodels auth)、6 ステップの Runbook、症状対照表、資格情報の分離チェックリストをまとめます。本番投入の前に、CVE-2026-25253 と Node 24 の本番ベースライン を先に完了してください。

01

チケットを浪費する「当たり前」の罠 6 つ

以下はサポートで実際に起きた誤ルーティングの写しです。コマンドを打つ前に一通り読んでください。

  • 01

    Unauthorized をすべてトークン紛失と決めつける: リバプロがヘッダを落とす、CLI に空トークンがキャッシュされる、HTTPS 以外で WebCrypto がブロックされる、などがあります。

  • 02

    プロバイダ鍵不足を Gateway の不具合とみなす: 多くは models auth がその Agent 身分に届いていないか、systemd ユーザー単位で環境変数が注入されていません。

  • 03

    doctor を飛ばして再インストール: PATH の二重化や設定ドリフトが隠れます。まずベンダー推奨の切り分け順に従います。

  • 04

    開発者用鍵を CI にコピー: 最小権限とローテーションを壊します。ランナーごとに身分を分けます。

  • 05

    127.0.0.1 と Tailscale の組み合わせを軽視: リモート CLI ではトークン解決と DNS の順序が異なります。両側で検証します。

  • 06

    ディスク上の検証を省略: config:validate 等がないと「コマンドは成功したがプロセスは読んでいない」という偽陰性が出ます。

02

俯瞰:Gateway とプロバイダ

症状まず疑う層最初のコマンド次の一手
CLI/WebSocket で 401/UnauthorizedGateway セッションopenclaw gateway statusopenclaw doctor、必要なら Gateway トークンを再発行
モデル呼び出し前に API key 不足プロバイダ資格情報openclaw models statusopenclaw models auth setup-token … を正しい Agent スコープで
不安定に成功する二重身分/設定which openclaw + ユーザーサービス環境PATH と systemd Environment= を揃える
リモート CLI だけ失敗トンネル/トークン伝播ローカル 127.0.0.1 を再検証Tailscale Serve と HTTPS 要件を確認

「先に分類、次に手術」— 同じ Unauthorized でも Gateway 経路とプロバイダ経路では処置が別物です。

03

本番向け 6 ステップ Runbook

  1. 01

    状態を固定: エラー全文・時刻・ユーザー/Agent ID を記録し、トークンとプロバイダ鍵を同時にいじらない。

  2. 02

    Gateway 最小セット:openclaw gateway statusopenclaw doctor。欠落時は公式手順でトークン再発行。

  3. 03

    ディスク上を検証: 権限が Gateway 実行ユーザーと一致するか確認し、編集後はユーザーサービスを再起動。

  4. 04

    プロバイダ側へ切替:openclaw models status のあと models auth setup-token。シークレットを共有 shell 履歴に貼らない。

  5. 05

    資格情報の分離: Agent/環境ごとの鍵ファイルまたはシークレットマネージャ参照。本番で world-readable ディレクトリを禁止。

  6. 06

    監査ログ: トークン/鍵ローテーションの時間窓・影響範囲・ロールバック地点を変更チケットに残す。

bash
openclaw gateway status
openclaw doctor
openclaw models status
# openclaw models auth setup-token --provider anthropic  # 公式ドキュメントに従い引数を埋める
info

メモ: systemd ユーザーサービスでは、プロバイダ用の環境変数をユニットファイルに書く—対話シェルだけに export しても届きません。

warning

注意: 公開チケットにフルトークン/API 鍵を貼らない。先頭・末尾 4 文字程度のフィンガープリントに留める。

04

レビューに載せられる 3 つの主張(ベンダー秘匿数値は使わない)

  • 所有権: OpenClaw Gateway がセッションとツール境界を強制し、プロバイダ API 鍵はベンダーのローテーション方針と自社のシークレット管理に従う。
  • 可観測性: 「認証失敗」を Gateway とプロバイダで別カウンタに分け、ページングが意味を持つようにする。
  • ランタイム: 本番 Gateway は安定した Node、予測可能なファイル権限、常駐プロセスモデルが前提—開発ノートとは別物。

スリープしがちなノート PC で Gateway を常駐させると、電源・熱制御で認証が間欠的に落ちます。専用で常時オンの macOS ノードの方が本番エージェント用ゲートウェイに向きます。VPS のように SSH で保守でき監査しやすい Mac 容量が欲しい場合は、リモートモードや Tailscale のサイト内ガイドと同じ運用頭で揃えやすい NodeMini の Mac Mini クラウドレンタルが現実的な選択になりがちです。

FAQ

FAQ

必ずしもそうではありません。セクション 2 の表で分類してから gateway statusdoctor を実行してください。他の OpenClaw 記事は ブログの OpenClaw 絞り込み から。

避けてください。身分とローテーションを分離します。容量の目安は レンタル料金 を参照。

まず PATH/二重バイナリと systemd の環境ドリフトを確認し、本 Runbook を再実行してください。サポートは ヘルプセンター を参照。