Переход от «работает на моём ноутбуке» к «аудируемо в продакшене» часто упирается в две строки: Unauthorized и No API key for provider. Это слой сессии Gateway и слой учётных данных провайдера моделей — разные исправления и разные файлы. Руководство даёт минимальный порядок разбора на 2026 год (gateway status → doctor → models auth), шестишаговый runbook, матрицу симптомов и чеклист изоляции секретов. Перед выводом в прод сначала завершите материал CVE-2026-25253 + базовая линия Node 24.
Каждый пункт отражает реальный ложный маршрут из поддержки — прочитайте перед вводом команд.
Считать любой Unauthorized потерей токена: прокси могут срезать заголовки; в кэше CLI бывает пустой токен; браузер может блокировать WebCrypto без HTTPS.
Винить Gateway в отсутствии ключей провайдера: чаще идентичность агента не получила models auth, либо в user-unit systemd нет переменных окружения.
Переустановка до doctor: скрывает раздвоенный PATH и дрейф конфигурации — сначала следуйте рекомендованному порядку вендора.
Копирование dev-ключей в CI: ломает least privilege и ротацию; выдавайте отдельную идентичность на каждый runner.
Игнорировать связку 127.0.0.1 + Tailscale: у удалённой CLI иначе разрешаются токены и DNS — проверьте обе стороны.
Пропуск проверки на диске: без config:validate (или аналога) получите ложные отрицания «команда ок, процесс не прочитал».
| Симптом | Слой для проверки | Первая команда | Следующий шаг |
|---|---|---|---|
| 401 / Unauthorized в CLI или WebSocket | Сессия Gateway | openclaw gateway status | openclaw doctor; при необходимости сменить токен Gateway |
| Нет API-ключа до вызова модели | Учётные данные провайдера | openclaw models status | openclaw models auth setup-token … с корректной областью агента |
| Нестабильный успех | Двойная идентичность / конфиг | which openclaw + окружение user-сервиса | Выровнять PATH и Environment= в systemd |
| Падает только удалённая CLI | Туннель / распространение токена | Повторно проверить 127.0.0.1 локально | Проверить Tailscale Serve и требования HTTPS |
«Сначала классификация, потом правки» — одна и та же строка Unauthorized требует разных действий на путях Gateway и провайдера.
Зафиксировать состояние: записать точный текст ошибки, время, пользователя / ID агента — не менять токен и ключи провайдера одновременно.
Минимум по Gateway:openclaw gateway status → openclaw doctor; при отсутствии токена — перевыпуск по документации.
Проверка на диске: права должны совпадать с пользователем Gateway; после правок перезапустить user-сервис.
Перейти к провайдеру:openclaw models status, затем models auth setup-token; не вставлять секреты в общую историю shell.
Изоляция учётных данных: ключевой материал на агент / окружение или ссылки на менеджер секретов; в проде запретить world-readable каталоги.
След аудита: окна ротации токенов/ключей, радиус поражения и точки отката — в тикете изменения.
openclaw gateway status openclaw doctor openclaw models status # openclaw models auth setup-token --provider anthropic # заполнить по официальной документации
Заметка: для user-сервисов systemd задавайте переменные провайдера в unit-файле — не только export в интерактивной оболочке.
Предупреждение: не вставляйте полные токены/API-ключи в публичные тикеты; используйте отпечаток из первых и последних четырёх символов.
Gateway на засыпающем ноутбуке даёт прерывистые сбои аутентификации из‑за энергополитики и троттлинга. Выделенный постоянно включённый узел macOS лучше подходит для продакшен-шлюзов агентов. Когда нужна как у VPS ёмкость Mac с обслуживанием по SSH и образами, удобными для аудита, облачная аренда Mac Mini NodeMini часто ложится в ту же операционную модель, что и наши гайды по remote-режиму и Tailscale.
Не всегда — используйте раздел 2, затем gateway status и doctor. Другие материалы OpenClaw: фильтр блога OpenClaw.
Лучше избегать — разделяйте идентичности и ротацию. Планирование ёмкости: цены аренды.
Сначала проверьте раздвоение PATH/бинарников и дрейф окружения systemd, затем снова выполните этот runbook. Справка: справочный центр.