Das Anbinden externer Systeme an OpenClaw hebt Automatisierung von CLI-Demos zu einem dauerhaft verfügbaren Teammitglied. Das 2026er Muster ist ein HTTP-Gateway mit /hooks/*-Endpunkten, geschützt durch geteilte Geheimnisse, plus Ollama auf Apple Silicon, damit HTML/CSS-Refactors im LAN bleiben—sofern die Verkabelung stimmt. Dieser Leitfaden fokussiert ausführbare Checks statt Marketing-Superlative, damit Sie jeden Schritt in einem Terminal nachvollziehen können. Kombinieren Sie CLI- und Browser-Smoke-Tests, um Drift zwischen Umgebungen früh zu erkennen.
Hooks und Secrets sicher aktivieren
Upstream verlangt hooks.enabled: true plus ein Token für jedes POST. Bevorzugen Sie Authorization: Bearer <token>; ältere Clients können x-openclaw-token nutzen. Niemals Geheimnisse in Query-Parametern—sie landen in Zugriffslogs und Browserhistorie.
Nach Konfigurationsänderungen Gateway-Daemon neu starten und prüfen, dass der Listener bis zum TLS-terminierenden Reverse Proxy nur 127.0.0.1 bindet. Lesen Sie vor dem Öffnen den Produktions-Härtungsleitfaden und den npm- versus Docker-Deployment-Leitfaden.
/hooks/wake vs /hooks/agent
Denken Sie an POST /hooks/wake als leichte Systemereignisse—CI fertig, Kalender-Reminder oder CMS-Hook, der den Agenten zum Ordner-Polling weckt. POST /hooks/agent startet einen isolierten Lauf mit kleinerem Blast-Radius, sinnvoll wenn unvertrauenswürdiges JSON von Partnern eintrifft.
| Route | Typische Nutzlast | Wann nutzen |
|---|---|---|
/hooks/wake | Leichtes Signal + Metadaten | Geplante Jobs, Repo-Push-Hooks |
/hooks/agent | Aufgabentext + Tool-Hinweise | Ticket-Automation aus Jira/Linear |
curl
Von jedem Host, der das Gateway erreicht (oft per SSH-Tunnel):
curl -sS -X POST "https://gateway.example/hooks/wake" \
-H "Authorization: Bearer $OPENCLAW_HOOK_SECRET" \
-H "Content-Type: application/json" \
-d '{"source":"ci","build":"12345"}'curl -sS -X POST "https://127.0.0.1:8443/hooks/agent" \
-H "Authorization: Bearer $OPENCLAW_HOOK_SECRET" \
-H "Content-Type: application/json" \
-d '{"task":"Summarize dist/index.html headings","repo":"/Users/build/workspace/site"}'Ersetzen Sie die URL im lokalen Test durch einen Loopback-Tunnel wie https://127.0.0.1:8443/hooks/wake. Erwarten Sie HTTP 204 oder 200; 401 bedeutet Token-Mismatch, 404 oft veraltetes Gateway oder Tippfehler im Pfad—achten Sie auf Slash-Normalisierung am Proxy.
Leiten Sie Antworten durch jq, um in CI .status == "accepted" zu prüfen. Bei HTTP/2-Lastbalancern können doppelte POST-Retries auftreten; idempotente Handler erkennen dieselbe build-ID innerhalb von 5 Minuten und brechen ab.
Ollama auf M-Serien
Ollama lauscht standardmäßig auf 127.0.0.1:11434. Prüfen Sie vom selben Mac wie OpenClaw:
curl -sS http://127.0.0.1:11434/api/tags | jq '.models[].name'Pinnen Sie Modelle mit klaren IDs wie qwen2.5:7b in openclaw.json; vage Aliase lassen den Scheduler auf Cloud-APIs zurückfallen. Docker-Nutzer brauchen oft host.docker.internal:11434 statt localhost.
Typisch 35–50 tok/s auf 7B-Klassen mit unified memory; budgetieren Sie mindestens 8 GB RAM für Gewichte plus Node-Gateway.
Unterscheiden Sie native Ollama-API und OpenAI-kompatibles /v1: Tool-Calling unterscheidet sich; testen Sie beides mit einem kurzen JSON-Toolschema und dokumentieren Sie die gewinnende Kombination im Runbook.
Bekannte Fehlerbilder 2026
- HTTP 404 nach erfolgreichem Ollama-Lauf. Agent endet, Callback-Route antwortet dennoch 404—OpenClaw patchen und sicherstellen, dass der Reverse Proxy
/hooks/*unverändert durchreicht. - Benutzerdefinierte Header in Streams verloren. Geschützte Endpunkte mit
X-OLLAMA-KEYkönnen 403 liefern, wenn ältere Builds Header beim internen Streaming verlieren—Proxy-Injection oder Upgrade. - Anthropic trotz Ollama.
curlaus der Gateway-Umgebung ausführen;agents.defaults.model.primaryexplizit aufollama/modell:tagsetzen und Logs auf Fallback-Warnungen prüfen. - Kleine Modelle vs. Tools. Manche Mini-Checkpoints liefern HTTP 400 mit Tools; OpenClaw kann ohne Tools retryen—Aufgaben vereinfachen.
Erfassen Sie Gateway- und Ollama-Logs parallel für dreißig Sekunden bei Reproduktionen; Zeitstempel korrelieren meist sofort Netzwerk-, Auth- oder Modellursache.
Warum auf gemietetem Mac mini stagen
Webhooks plus lokale Inferenz bedeuten Dauerprozesse. Ein gemieteter Mac mini hält das von Laptop-Batterien fern und bewahrt macOS-Pfade.
Kombinieren Sie SSH zum Log-Tailing mit gelegentlichem VNC für Privacy-Dialoge.
Betriebsmetriken, die sich lohnen: Webhook-Annahmequote wöchentlich über 99,5 % halten, p95-Latenz vom POST bis zur ersten Agent-Zeile typischerweise zwischen 300 und 800 ms auf dem LAN messen und die Ollama-Warteschlange beobachten. Wenn Cloud-APIs plötzlich 429 liefern, feuern CI-Jobs vermutlich zu viele parallele Hooks—drosseln Sie mit einfachen Semaphoren oder versetzen Sie Cron-Einträge um 30–60 Sekunden.
Für HTML/CSS-Repositories sollten Skills auf dieselbe Arbeitskopie zeigen wie Ihr Static-Build; so bleiben webhook-getriebene Diffs in einem Pull Request reviewbar. Lege .openclawignore an, um node_modules und dist auszuschließen und Kontextfenster schlank zu halten. Bei Partner-Webhooks protokollieren Sie Quell-IP, User-Agent und eine Payload-Hashsumme gegen Replay-Versuche.
Drehen Sie geteilte Hook-Secrets vierteljährlich und lagern Sie sie in der macOS-Schlüsselbundverwaltung via security add-generic-password statt in Klartext-Shell-Exports—das verhindert Leaks während Bildschirmfreigaben, wenn jemand env | grep OPENCLAW ausführt.
Fangen Sie bei jeder Störung für 30 Sekunden Gateway- und Ollama-Logs parallel mit identischen Zeitstempeln ein; meist erkennen Sie so sofort, ob Netzwerk, Authentifizierung oder das Modell selbst schuld ist. Idempotente Handler sollten dieselbe build-ID innerhalb von 5 Minuten erkennen und abbrechen, falls HTTP/2-Lastverteiler POSTs duplizieren.
Behandeln Sie den gemieteten Knoten wie produktionsnahes Staging: frieren Sie Abhängigkeitsversionen nach erfolgreichen Hook-Drills für eine Woche ein und planen Sie Upgrades bewusst, statt sie mit dem täglichen brew upgrade zu vermischen.
Bridge-Integrationen zu Slack oder Microsoft Teams sollten signierte Payloads erwarten und niemals Roh-URLs mit eingebetteten Secrets posten. Legen Sie für jede Umgebung (Staging/Produktion) eigene Hook-URLs und Tokens an, damit ein versehentlich weitergeleiteter Chat-Link nicht die Produktionsinstanz weckt. Canary-Deployments eignen sich besonders für riskante Parser-Änderungen an eingehenden JSON-Strukturen—rollen Sie zuerst auf einem einzelnen Kanal aus, messen Sie Fehlerquoten 24 Stunden lang, und erst dann breiten Sie auf alle Webhook-Quellen aus.
Auf macOS sorgen launchd-Plists dafür, dass Gateway und Ollama nach Neustarts deterministisch starten; tragen Sie dort explizite PATH-Variablen für Node, PNPM und Ollama ein, damit keine interaktive Shell nötig ist. Vergleichen Sie regelmäßig npm- und Docker-Topologien mit demselben synthetischen Hook-Workload, damit versteckte Netzwerk-Unterschiede zwischen Bridge- und Host-Modus nicht erst im Incident auffallen. Führen Sie ein internes Modellverzeichnis: welche Checkpoint-IDs zuverlässig Tools akzeptieren, welche nur für Freitext taugen, und welche Speicherbudgets auf M4 mit 16 GB realistisch sind.
Lasttests sollten gelegentlich 200 synthetische POSTs innerhalb einer Minute schicken, um Puffer im Gateway und im Ollama-Scheduler zu finden, ohne Produktionsdaten zu riskieren. Dokumentieren Sie die maximal beobachtete Queue-Tiefe und setzen Sie Alarme leicht darunter, damit Sie horizontal skalieren oder Jobs drosseln können, bevor Antwortzeiten über 2 Sekunden klettern und externe Aufrufer Timeouts sehen.
HTML/CSS-Teams profitieren davon, Hook-Payloads mit stabilen Pfaden zu versionieren, etwa {"ref":"main","path":"src/index.html"}, damit Agenten nicht raten müssen, welcher Branch gerade aktiv ist. Speichern Sie die letzten zehn erfolgreichen Payloads in einem geschützten Log-Verzeichnis auf dem Cloud-Mac, um Regressionen nach OpenClaw-Upgrades schnell zu bisecten, ohne Kundendaten zu duplizieren.
Wenn Sie mehrere Agenten parallel starten, weisen Sie jedem eine eigene Arbeitskopie oder einen Git-Worktree zu, damit konkurrierende Schreibzugriffe auf dist/ keine Race Conditions erzeugen. Ein einfaches Namensschema wie /var/tmp/agent-$BUILD_ID reicht oft, um Kollisionen zu vermeiden. Räumen Sie diese Verzeichnisse nach 48 Stunden automatisiert auf, damit SSD-Kapazität auf gemieteten Knoten nicht stillschweigend voll läuft. Ein wöchentlicher df -h-Check im gleichen Cron wie Ihre Hook-Health-Probe kostet kaum Zeit und verhindert nächtliche Überraschungen.
FAQ
Warum sehe ich HTTP 404 nach einem erfolgreichen Ollama-Lauf?
Einige Gateway-Builds behandeln Callbacks nach dem Lauf falsch, wenn Ollama Provider ist. Aktualisieren Sie OpenClaw, prüfen Sie, dass der Webhook-Pfad zu den dokumentierten /hooks/*-Routen passt, und sammeln Sie Gateway-Logs um die Antwortphase.
Sind Query-String-Tokens erlaubt?
Aktuelle Empfehlung lehnt Geheimnisse in Query-Strings ab; nutzen Sie Authorization: Bearer oder den Header x-openclaw-token.
Warum ruft OpenClaw Anthropic an, obwohl Ollama konfiguriert ist?
Die Modellermittlung fällt zurück, wenn die Primärzeichenkette kein gültiger ollama/-Verweis ist oder der Daemon vom Gateway-Prozess nicht erreichbar ist. Prüfen Sie mit curl und pinnen Sie agents.defaults.model.primary explizit.
Apple-Silicon-Kapazität von MacHTML hält Webhook-Endpunkte und Ollama-Modelle warm, ohne Ihr MacBook thermisch zu limitieren. Weniger verpasste CI-Hooks und stabilere Token-Latenzen beim Umschreiben großer HTML/CSS-Baumbestände sind der praktische Gewinn.
OpenClaw + Ollama auf Apple Silicon stagen
Provisionieren Sie einen Cloud-Mac mini, installieren Sie den Stack per npm oder Docker und folgen Sie dem Help-Center für SSH-Tunnel und Webhook-Tests.