2026 OpenClaw rollback après mauvaise release en minutes : verrou digest, double chemin Compose et npm, contrôles de volumes en lecture seule

Lecture env. 18 min · MACCOME

Si vous venez de mettre à jour OpenClaw et voyez un Gateway erratique, une divergence entre versions CLI et conteneur, ou une fenêtre de régression signalée par la communauté, cet article répond à trois questions : faut-il rouler immédiatement, comment les chemins Docker et npm épinglent le digest et alignent les versions, et comment des contrôles de volumes en lecture seule plus une échelle de vérification prouvent un retour à un état connu sain. Il complète la matrice d'épinglage des canaux (stratégie contre exploitation d'incident) et s'associe au forward local SSH vers un Mac Gateway dédié et à la checklist de migration et rollback.

Six faux positifs qui ressemblent à une mauvaise release OpenClaw avant de rouler

  1. Mises à niveau split-brain : binaire openclaw hôte récent, Gateway conteneur ancien (ou l'inverse). Sous-commandes manquantes ou drapeaux inconnus, souvent confondus avec du bruit WebSocket 1006.
  2. Dérive de droits ou de montage de volume : script d'upgrade supposant une nouvelle sémantique UID/GID sans compose à jour. On croit à un build qui ne lit pas l'ancien état alors que le contrat filesystem est rompu.
  3. Arbres de configuration dupliqués : .openclaw sur bind mount et volume anonyme. Après rollback d'image, vous lisez encore un arbre vide.
  4. Proxy, interception TLS, MITM d'entreprise : nouveau chemin de téléchargement, échec TLS attribué à tort au build upstream.
  5. Plafonds de ressources : sandbox plus lourde ou sessions concurrentes après upgrade ; sur petites machines l'OOM rend le Gateway instable alors que les bits sont sains.
  6. Changements rupteurs documentés : notes de version décrivent le nouveau comportement, l'automatisation appelle d'anciens drapeaux. C'est une tâche de migration, pas un rollback digest.

Le rollback incident commence par cartographier les symptômes vers une triplette de vérité de version : semver ou build ID CLI, digest d'image (ou autre référence auditable), graphe inode/mount du répertoire de configuration. Sans ce cliché, le rollback est aléatoire : image plus ancienne, mauvais volume ou couche d'injection TOKEN. Ce guide évite l'installation greenfield et le catalogue complet du doctor ; il ne garde que les sondes utiles à l'acceptation post-rollback.

Lorsque le Gateway vit sur un portable qui dort ou une session bureau, politiques d'alimentation, VPN et pression disque imitent une instabilité post-upgrade et brûlent le budget de rollback. Si vous avez besoin de tickets qui disent littéralement digest A vers B puis retour A, héberger le Gateway autoritaire sur un Mac distant dédié toujours sous tension tout en ne gardant que la CLI sur le portable gagne souvent en coût total. La section quatre donne trois seuils de type KPI pour le manuel d'astreinte.

Dimension Poursuivre le debug (reporter le rollback) Rouler maintenant (rétablir le service d'abord)
Rayon d'explosion Sandbox non-prod avec TOKEN et volumes isolés Trafic prod : échecs silencieux, jobs perdus ou alertes sécurité ; ou communauté confirme l'étendue de la régression
Chaîne de preuve Triplette capturée, doctor pointe un paramètre concret Snapshots manquants ou triplette incohérente ; toute nouvelle config élargit le rayon
Levier Docker docker compose logs ciblé sur un service, croisé avec les notes de rupture officielles Pointer OPENCLAW_IMAGE vers le dernier digest sain ; pull puis up -d ; puis audits volumes lecture seule
Levier npm Confirmer la baseline Node majeure et un PATH global unique Réinstaller le paquet global précédent, redémarrer les démons Gateway, sondes minimales avant de rouvrir le trafic
Résidence distante Vous pouvez exécuter un digest shadow sur un hôte dédié avec noms de volumes et ports propres Les volumes prod et shadow doivent rester isolés pour que le rollback n'efface pas les données d'expérimentation

Comment cela s'articule avec l'article d'épinglage des canaux

L'article du 2026-05-13 couvre quel rail stable/beta/dev suivre et quand épingler le digest de façon proactive. Celui-ci couvre ce qu'il faut faire lorsque vous croyez déjà qu'un build est mauvais : comprimer rollback, vérification et piste d'audit en minutes et forcer des audits de volumes en lecture seule pour éviter « image roulée en arrière, état toujours dérivé ». Bloqué sur pairing, 1006/1008, sources TOKEN doubles : passez au runbook pairing et conflit de jetons ; ici seulement des seuils de décision pour savoir si le pairing doit être refait après rollback.

Gardez rétention des logs, limites cgroup et politique d'exposition pour Docker prod à côté du runbook Docker production ; sinon « digest épinglé mais personne ne connaît le SHA compose de cette nuit ». Le bloc bash ci-dessous liste des catégories de champs : remplacez noms de services, volumes et registres, alignez les sous-commandes sur la doc officielle de la build épinglée.

warning

Note : les discussions communautaires sur les mauvaises releases mineures sont sensibles au temps. Ce guide ne fige aucun semver. Avant exécution, le ticket doit nommer digest ou tag cible, SHA git du compose, et si l'effacement des volumes expérimentaux est autorisé.

Runbook en six étapes : verrou digest, rollback, acceptation

  1. Geler les preuves : exporter openclaw --version, RepoDigests de l'image, un docker compose config tronqué, listing lecture seule de l'arbre d'état (voir esquisse bash).
  2. Choisir une seule voie : dans un même ticket, préférer toucher Docker ou npm ; si les deux bougent, roulez d'abord le côté proche du Gateway et reverifiez tout de suite.
  3. Rollback Docker : régler OPENCLAW_IMAGE sur ghcr.io/.../...@sha256:<known-good> ; docker compose pull puis docker compose up -d ; ne jamais tirer sans remonter.
  4. Audit volume lecture seule : dans le conteneur, ls -la sur les points de montage, fichiers critiques présents, pas de répertoire hôte vide par erreur.
  5. Rollback npm : réinstaller la version globale précédente selon la doc amont ; revérifier Node ; redémarrer launchd/systemd (ou équivalent) autour du Gateway.
  6. Échelle de vérification : gateway status (ou équivalent) → UI de contrôle sur 18789 joignable → sonde minimale non destructive → openclaw doctor ; en cas d'échec, ne pas rouvrir le trafic et archiver les journaux.
bash
# Evidence snapshot (rename fields to your environment)
openclaw --version 2>/dev/null || true
docker compose config | sed -n '1,160p'
docker image inspect "${IMAGE_REF}" --format '{{json .RepoDigests}}' 2>/dev/null || true

# Read-only volume sweep (replace container and mount path)
# docker exec -it <gw_container> sh -lc 'ls -la /path/to/mounted/state | head'

# Pin OPENCLAW_IMAGE to digest (do not copy a random digest from the internet)
# export OPENCLAW_IMAGE="ghcr.io/openclaw/openclaw@sha256:<KNOWN_GOOD>"
# docker compose pull && docker compose up -d

Trois seuils quantitatifs pour le manuel d'astreinte

  • MTTRrollback : médiane en minutes entre « décision de rollback » et « échelle entièrement verte » ; visez ≤15 pour une petite équipe. Deux semaines d'affil au-dessus : automatisation de clichés ou éparpillement compose cassé.
  • Détections split-brain par semaine : alarmes où build CLI rapporté et digest Gateway divergent ; toute semaine non nulle déclenche une remédiation « source unique de vérité », pas plus de grep.
  • Taux de dérive de volume : part des premières sondes post-rollback dont la cause est « répertoire vide monté » ou « décalage UID » ; si >10 %, ajoutez les chemins bind compose à la revue de code obligatoire.

Ce sont des indicateurs d'observabilité opérationnelle, pas des benchmarks synthétiques. Si vous colocalisez de lourds builds Xcode et un Gateway, liez aussi seuils disque et rotation des logs aux fenêtres d'upgrade, sinon la saturation I/O étire le MTTR. Capacité et cadrage locatif : guide multi-régions ; facturation hors scope ici.

Pourquoi « tags flottants sur portable plus rollback manuel » perd souvent contre « Mac distant dédié plus verrou digest »

Les portables excellent pour l'interaction mais mélangent sommeil, mode clam, VPN, mises à jour OS et trousseau avec la disponibilité du Gateway. Le rollback sur la même machine produit souvent des demi-états « commande OK, démon jamais rechargé ». Placer le Gateway autoritaire sur un Mac distant dédié toujours actif avec forward SSH documenté ou entrée privée découple surfaces de changement de version et bruit du terminal personnel, ce qui productionise bien des passerelles d'agents. Même en bleeding edge local, persistez la triplette dans CI ou cron, pas dans le fil de chat.

Par rapport à des docker compose restart répétés ou un npm reinstall aveugle, le rollback priorité digest est auditable et rejouable sur une deuxième machine, ce que demandent sécurité et post-mortems. Pour des Gateways 7×24 auditables alignés sur le rythme de changement de l'équipe, MACCOME Mac mini (M4 / M4 Pro) en six régions avec baux flexibles bat souvent le coût total de possession des politiques d'alimentation portable. Commencez par le guide multi-régions, puis câblez avec le runbook SSH lié plus haut.

Clôture : écrivez le dernier digest sain dans ROLLBACK.md, pas dans l'historique shell

Les livrables listent référence digest par défaut, fenêtres preview autorisées, motifs interdits (ex. prod ne doit pas flotter sur latest sans digest), exemple de sortie d'échelle, propriétaire de rollback, délai d'expiration. Toute étape non rejouable sur une deuxième machine est une documentation inachevée. Avec bootstrap GHCR et Control UI, mettez « rollback image » et « politique d'exposition 18789 » dans le même ticket pour ne pas publier l'UI d'admin après une rétrogradation d'urgence.

FAQ

Après rollback d'image, dois-je réappairer le jeton Gateway ?

Souvent non si le volume de données est intact et le contrat compatible. Si alertes de poignée de main ou double source persistent, suivez l'article de pairing. Hôte prod dédié prévu ? Consultez les tarifs de location et le support et aide pour les nœuds MACCOME.

Cela duplique-t-il l'article d'épinglage des canaux ?

Celui-là possède les matrices de stratégie quotidienne ; celui-ci possède l'ordre incident et les contrôles de volume. Lisez stratégie d'abord, incident ensuite ; croisez les slugs pour garder des intentions SEO distinctes.

Doctor échoue encore après rollback ?

Revérifiez la triplette et les audits lecture seule, puis l'article doctor dédié. Si vous suspectez des limites de ressources, capturez RAM et seuils disque sur portable et hôte distant avant d'ouvrir un nouveau ticket pour ne pas classer l'OOM comme bug de version.