Interface de contrôle

• Discutez avec le modèle via le WS du Gateway (chat.history, chat.send, chat.abort, chat.inject).
• Les actualisations de l’historique de chat demandent une fenêtre récente bornée avec des plafonds de texte par message, afin que les grandes sessions n’obligent pas le navigateur à rendre une charge utile de transcription complète avant que le chat devienne utilisable.
• Parlez via des sessions temps réel du navigateur. OpenAI utilise WebRTC direct, Google Live utilise un jeton de navigateur contraint à usage unique via WebSocket, et les plugins vocaux temps réel uniquement côté backend utilisent le transport relais du Gateway. Les sessions de fournisseur détenues par le client commencent par talk.client.create ; les sessions relais du Gateway commencent par talk.session.create. Le relais conserve les identifiants du fournisseur sur le Gateway pendant que le navigateur diffuse le PCM du microphone via talk.session.appendAudio et transfère les appels d’outils fournisseur openclaw_agent_consult via talk.client.toolCall pour la stratégie du Gateway et le modèle OpenClaw configuré plus grand.
• Diffusez les appels d’outils + les cartes de sortie d’outil en direct dans le chat (événements d’agent).

• Canaux : état des canaux intégrés ainsi que des canaux de plugins groupés/externes, connexion par QR et configuration par canal (channels.status, web.login.*, config.patch).
• Les actualisations des sondes de canal gardent l’instantané précédent visible pendant que les vérifications lentes du fournisseur se terminent, et les instantanés partiels sont étiquetés lorsqu’une sonde ou un audit dépasse son budget d’interface.
• Instances : liste de présence + actualisation (system-presence).
• Sessions : liste + remplacements par session du modèle, de la réflexion, du mode rapide, du mode verbeux, de la trace et du raisonnement (sessions.list, sessions.patch).
• Rêves : état du dreaming, bascule activer/désactiver et lecteur du Journal des rêves (doctor.memory.status, doctor.memory.dreamDiary, config.patch).

• Tâches Cron : lister/ajouter/modifier/exécuter/activer/désactiver + historique d’exécution (cron.*).
• Skills : état, activation/désactivation, installation, mises à jour de clé API (skills.*).
• Nœuds : liste + capacités (node.list).
• Approbations exec : modifier les listes d’autorisation du Gateway ou du nœud + stratégie de demande pour exec host=gateway/node (exec.approvals.*).

• Afficher/modifier ~/.openclaw/openclaw.json (config.get, config.set).
• Appliquer + redémarrer avec validation (config.apply) et réveiller la dernière session active.
• Les écritures incluent une protection par hachage de base pour éviter d’écraser des modifications concurrentes.
• Les écritures (config.set/config.apply/config.patch) prévalident la résolution des SecretRef actifs pour les références dans la charge utile de configuration soumise ; les références soumises actives non résolues sont rejetées avant l’écriture.
• Schéma + rendu de formulaire (config.schema / config.schema.lookup, y compris les champs title / description, les indices d’interface correspondants, les résumés des enfants immédiats, les métadonnées de documentation sur les nœuds imbriqués objet/joker/tableau/composition, ainsi que les schémas de Plugin + canal lorsqu’ils sont disponibles) ; l’éditeur JSON brut n’est disponible que lorsque l’instantané dispose d’un aller-retour brut sûr.
• Si un instantané ne peut pas effectuer un aller-retour sûr du texte brut, l’interface de contrôle force le mode Formulaire et désactive le mode Brut pour cet instantané.
• Dans l’éditeur JSON brut, "Réinitialiser à l’enregistrement" préserve la forme rédigée en brut (mise en forme, commentaires, disposition $include) au lieu de générer à nouveau un instantané aplati, afin que les modifications externes survivent à une réinitialisation lorsque l’instantané peut effectuer un aller-retour sûr.
• Les valeurs d’objet SecretRef structurées sont rendues en lecture seule dans les champs de texte du formulaire pour éviter une corruption accidentelle d’objet en chaîne.

• Débogage : instantanés d’état/santé/modèles + journal d’événements + appels RPC manuels (status, health, models.list).
• Le journal d’événements inclut les temps d’actualisation/RPC de l’interface de contrôle, les temps de rendu lent du chat/de la configuration et les entrées de réactivité du navigateur pour les longues images d’animation ou les tâches longues lorsque le navigateur expose ces types d’entrées PerformanceObserver.
• Journaux : suivi en direct des journaux de fichiers du Gateway avec filtre/export (logs.tail).
• Mise à jour : exécuter une mise à jour package/git + redémarrage (update.run) avec un rapport de redémarrage, puis interroger update.status après la reconnexion pour vérifier la version du Gateway en cours d’exécution.

• Pour les tâches isolées, la livraison utilise par défaut l’annonce d’un résumé. Vous pouvez passer à aucune si vous voulez des exécutions uniquement internes.
• Les champs canal/cible apparaissent lorsque l’annonce est sélectionnée.
• Le mode Webhook utilise delivery.mode = "webhook" avec delivery.to défini sur une URL de webhook HTTP(S) valide.
• Pour les tâches de session principale, les modes de livraison webhook et aucune sont disponibles.
• Les contrôles d’édition avancée incluent supprimer après exécution, effacer le remplacement d’agent, les options exactes/échelonnées de Cron, les remplacements du modèle/de la réflexion de l’agent et les bascules de livraison en meilleur effort.
• La validation de formulaire est en ligne avec des erreurs au niveau des champs ; les valeurs invalides désactivent le bouton d’enregistrement jusqu’à correction.
• Définissez cron.webhookToken pour envoyer un jeton bearer dédié ; s’il est omis, le webhook est envoyé sans en-tête d’authentification.
• Solution de repli obsolète : les anciennes tâches stockées avec notify: true peuvent encore utiliser cron.webhook jusqu’à leur migration.

• chat.send est non bloquant : il accuse réception immédiatement avec { runId, status: "started" } et la réponse est diffusée via des événements chat.
• Les téléversements de chat acceptent les images ainsi que les fichiers non vidéo. Les images conservent le chemin d’image natif ; les autres fichiers sont stockés comme médias gérés et affichés dans l’historique sous forme de liens de pièces jointes.
• Un nouvel envoi avec la même idempotencyKey renvoie { status: "in_flight" } pendant l’exécution, puis { status: "ok" } une fois terminé.
• Les réponses chat.history sont limitées en taille pour la sûreté de l’interface. Lorsque les entrées de transcription sont trop volumineuses, le Gateway peut tronquer les longs champs de texte, omettre les blocs de métadonnées lourds et remplacer les messages surdimensionnés par un espace réservé ([chat.history omitted: message too large]).
• Les images assistant/générées sont conservées comme références de médias gérés et resservies via des URL de médias authentifiées du Gateway, afin que les rechargements ne dépendent pas de charges utiles d’image base64 brutes restant dans la réponse d’historique de chat.
• Lors du rendu de chat.history, l’interface de contrôle retire du texte visible de l’assistant les balises de directives inline uniquement destinées à l’affichage (par exemple [[reply_to_*]] et [[audio_as_voice]]), les charges utiles XML d’appels d’outils en texte brut (y compris <tool_call>...</tool_call>, <function_call>...</function_call>, <tool_calls>...</tool_calls>, <function_calls>...</function_calls>, et les blocs d’appels d’outils tronqués), ainsi que les jetons de contrôle de modèle ASCII/pleine chasse divulgués, et omet les entrées d’assistant dont tout le texte visible est uniquement le jeton silencieux exact NO_REPLY / no_reply ou le jeton d’accusé de réception Heartbeat HEARTBEAT_OK.
• Pendant un envoi actif et le rafraîchissement final de l’historique, la vue de chat garde visibles les messages utilisateur/assistant optimistes locaux si chat.history renvoie brièvement un instantané plus ancien ; la transcription canonique remplace ces messages locaux dès que l’historique du Gateway se met à jour.
• Les événements chat en direct représentent l’état de livraison, tandis que chat.history est reconstruit à partir de la transcription de session durable. Après les événements finaux d’outils, l’interface de contrôle recharge l’historique et ne fusionne qu’une petite fin optimiste ; la frontière de transcription est documentée dans WebChat.
• chat.inject ajoute une note d’assistant à la transcription de session et diffuse un événement chat pour les mises à jour uniquement destinées à l’interface (aucune exécution d’agent, aucune livraison de canal).
• L’en-tête du chat affiche le filtre d’agent avant le sélecteur de session, et le sélecteur de session est limité à l’agent sélectionné. Changer d’agent n’affiche que les sessions liées à cet agent et revient à la session principale de cet agent lorsqu’il n’a pas encore de sessions de tableau de bord enregistrées.
• Sur les largeurs de bureau, les contrôles de chat restent sur une seule ligne compacte et se replient lors du défilement vers le bas de la transcription ; faire défiler vers le haut, revenir au début ou atteindre le bas restaure les contrôles.
• Les messages consécutifs dupliqués contenant uniquement du texte s’affichent comme une seule bulle avec un badge de nombre. Les messages contenant des images, des pièces jointes, une sortie d’outil ou des aperçus de canevas ne sont pas repliés.
• Les sélecteurs de modèle et de réflexion de l’en-tête du chat modifient immédiatement la session active via sessions.patch ; ce sont des remplacements persistants de session, et non des options d’envoi limitées à un seul tour.
• Saisir /new dans l’interface de contrôle crée et bascule vers la même nouvelle session de tableau de bord que Nouveau chat. Saisir /reset conserve la réinitialisation explicite sur place du Gateway pour la session actuelle.
• Le sélecteur de modèle de chat demande la vue des modèles configurée du Gateway. Si agents.defaults.models est présent, cette liste d’autorisation alimente le sélecteur. Sinon, le sélecteur affiche les entrées explicites models.providers.*.models ainsi que les fournisseurs disposant d’une authentification utilisable. Le catalogue complet reste disponible via le RPC de débogage models.list avec view: "all".
• Lorsque de nouveaux rapports d’utilisation de session du Gateway indiquent une forte pression de contexte, la zone de composition du chat affiche un avis de contexte et, aux niveaux de Compaction recommandés, un bouton compact qui exécute le chemin normal de Compaction de session. Les instantanés de jetons obsolètes sont masqués jusqu’à ce que le Gateway signale de nouveau une utilisation fraîche.

Le mode conversation utilise un fournisseur vocal temps réel enregistré. Configurez OpenAI avec talk.realtime.provider: "openai" plus talk.realtime.providers.openai.apiKey, ou configurez Google avec talk.realtime.provider: "google" plus talk.realtime.providers.google.apiKey. Le navigateur ne reçoit jamais de clé d’API de fournisseur standard. OpenAI reçoit un secret client Realtime éphémère pour WebRTC. Google Live reçoit un jeton d’authentification Live API contraint à usage unique pour une session WebSocket de navigateur, avec les instructions et déclarations d’outils verrouillées dans le jeton par le Gateway. Les fournisseurs qui n’exposent qu’un pont temps réel côté backend passent par le transport relais du Gateway, afin que les identifiants et sockets fournisseur restent côté serveur tandis que l’audio du navigateur circule via des RPC authentifiés du Gateway. L’invite de session Realtime est assemblée par le Gateway ; talk.client.create n’accepte pas les remplacements d’instructions fournis par l’appelant.

Dans le compositeur de chat, la commande de conversation est le bouton à ondes à côté du bouton de dictée au microphone. Lorsque la conversation démarre, la ligne d’état du compositeur affiche Connecting Talk..., puis Talk live pendant que l’audio est connecté, ou Asking OpenClaw... pendant qu’un appel d’outil temps réel consulte le modèle plus grand configuré via talk.client.toolCall.

Smoke live mainteneur : OPENAI_API_KEY=... GEMINI_API_KEY=... node --import tsx scripts/dev/realtime-talk-live-smoke.ts vérifie l’échange SDP WebRTC du navigateur OpenAI, la configuration WebSocket de navigateur à jeton contraint Google Live, et l’adaptateur navigateur relais du Gateway avec un média de microphone simulé. La commande affiche uniquement l’état du fournisseur et ne journalise aucun secret.

• Cliquez sur Arrêter (appelle chat.abort).
• Pendant qu’une exécution est active, les suivis normaux sont mis en file d’attente. Cliquez sur Orienter sur un message en file d’attente pour injecter ce suivi dans le tour en cours d’exécution.
• Saisissez /stop (ou des phrases d’abandon autonomes comme stop, stop action, stop run, stop openclaw, please stop) pour abandonner hors bande.
• chat.abort prend en charge { sessionKey } (sans runId) pour abandonner toutes les exécutions actives de cette session.

• Lorsqu’une exécution est abandonnée, le texte partiel de l’assistant peut toujours être affiché dans l’interface.
• Le Gateway conserve le texte partiel abandonné de l’assistant dans l’historique de transcription lorsqu’une sortie mise en mémoire tampon existe.
• Les entrées conservées incluent des métadonnées d’abandon afin que les consommateurs de transcription puissent distinguer les partiels abandonnés de la sortie d’achèvement normale.

{
  gateway: {
    controlUi: { allowInsecureAuth: true },
    bind: "tailnet",
    auth: { mode: "token", token: "replace-me" },
  },
}

allowInsecureAuth est uniquement une option de compatibilité locale :

• Elle permet aux sessions localhost de l’interface utilisateur de contrôle de continuer sans identité d’appareil dans des contextes HTTP non sécurisés.
• Elle ne contourne pas les vérifications d’appairage.
• Elle n’assouplit pas les exigences d’identité d’appareil distante (hors localhost).

{
  gateway: {
    controlUi: { dangerouslyDisableDeviceAuth: true },
    bind: "tailnet",
    auth: { mode: "token", token: "replace-me" },
  },
}

• Une authentification trusted-proxy réussie peut admettre des sessions opérateur de l’interface utilisateur de contrôle sans identité d’appareil.
• Cela ne s’étend pas aux sessions de l’interface utilisateur de contrôle avec rôle de nœud.
• Les proxys inverses loopback sur le même hôte ne satisfont toujours pas l’authentification trusted-proxy ; consultez Authentification par proxy de confiance.

• gatewayUrl est stocké dans localStorage après le chargement et supprimé de l’URL.
• Si vous passez un point de terminaison ws:// ou wss:// complet via gatewayUrl, encodez la valeur gatewayUrl dans l’URL afin que le navigateur analyse correctement la chaîne de requête.
• token doit être transmis via le fragment d’URL (#token=...) chaque fois que possible. Les fragments ne sont pas envoyés au serveur, ce qui évite les fuites dans les journaux de requêtes et le Referer. Les anciens paramètres de requête ?token= sont toujours importés une fois pour compatibilité, mais uniquement en solution de secours, et sont supprimés immédiatement après l’amorçage.
• password est conservé uniquement en mémoire.
• Lorsque gatewayUrl est défini, l’interface utilisateur ne revient pas aux identifiants de configuration ou d’environnement. Fournissez explicitement token (ou password). L’absence d’identifiants explicites est une erreur.
• Utilisez wss:// lorsque le Gateway est derrière TLS (Tailscale Serve, proxy HTTPS, etc.).
• gatewayUrl est accepté uniquement dans une fenêtre de premier niveau (non intégrée) afin d’empêcher le clickjacking.
• Les déploiements non-loopback de l’interface utilisateur de contrôle doivent définir explicitement gateway.controlUi.allowedOrigins (origines complètes). Cela inclut les configurations de développement distantes.
• Le démarrage du Gateway peut amorcer des origines locales telles que http://localhost:<port> et http://127.0.0.1:<port> à partir de l’adresse et du port effectifs d’exécution, mais les origines de navigateurs distants nécessitent toujours des entrées explicites.
• N’utilisez pas gateway.controlUi.allowedOrigins: ["*"], sauf pour des tests locaux étroitement contrôlés. Cela signifie autoriser n’importe quelle origine de navigateur, et non « faire correspondre l’hôte que j’utilise ».
• gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true active le mode de repli sur l’origine de l’en-tête Host, mais il s’agit d’un mode de sécurité dangereux.