Bedieningsinterface

• Chat met het model via Gateway WS (chat.history, chat.send, chat.abort, chat.inject).
• Vernieuwingen van de chatgeschiedenis vragen een begrensd recent venster op met tekstlimieten per bericht, zodat grote sessies de browser niet dwingen een volledige transcript-payload te renderen voordat de chat bruikbaar wordt.
• Praat via realtime browsersessies. OpenAI gebruikt directe WebRTC, Google Live gebruikt een beperkt eenmalig browsertoken via WebSocket, en backend-only realtime spraak-plugins gebruiken de Gateway-relaytransportlaag. Door de client beheerde providersessies starten met talk.client.create; Gateway-relaysessies starten met talk.session.create. De relay houdt providerreferenties op de Gateway terwijl de browser microfoon-PCM streamt via talk.session.appendAudio en openclaw_agent_consult-provider-toolcalls doorstuurt via talk.client.toolCall voor Gateway-beleid en het grotere geconfigureerde OpenClaw-model.
• Stream toolcalls + live tooluitvoerkaarten in Chat (agentgebeurtenissen).

• Kanalen: ingebouwde plus gebundelde/externe plugin-kanaalstatus, QR-login en configuratie per kanaal (channels.status, web.login.*, config.patch).
• Verversen van kanaalprobes houdt de vorige momentopname zichtbaar terwijl trage providercontroles worden afgerond, en gedeeltelijke momentopnamen krijgen een label wanneer een probe of audit het UI-budget overschrijdt.
• Instanties: aanwezigheidslijst + verversen (system-presence).
• Sessies: lijst + model-/thinking-/fast-/verbose-/trace-/reasoning-overrides per sessie (sessions.list, sessions.patch).
• Dreams: dreaming-status, aan/uit-schakelaar en Dream Diary-lezer (doctor.memory.status, doctor.memory.dreamDiary, config.patch).

• Cron-taken: weergeven/toevoegen/bewerken/uitvoeren/inschakelen/uitschakelen + uitvoeringsgeschiedenis (cron.*).
• Skills: status, inschakelen/uitschakelen, installeren, API-sleutelupdates (skills.*).
• Nodes: lijst + caps (node.list).
• Exec-goedkeuringen: gateway- of node-allowlists bewerken + vraagbeleid voor exec host=gateway/node (exec.approvals.*).

• Bekijk/bewerk ~/.openclaw/openclaw.json (config.get, config.set).
• Toepassen + herstarten met validatie (config.apply) en de laatst actieve sessie wekken.
• Schrijfacties bevatten een base-hash-bescherming om overschrijven van gelijktijdige bewerkingen te voorkomen.
• Schrijfacties (config.set/config.apply/config.patch) voeren een preflight uit voor actieve SecretRef-resolutie voor refs in de ingediende configuratiepayload; onopgeloste actieve ingediende refs worden vóór het schrijven geweigerd.
• Schema + formulierweergave (config.schema / config.schema.lookup, inclusief veld title / description, gematchte UI-hints, directe child-samenvattingen, docs-metadata op geneste object-/wildcard-/array-/composition-nodes, plus plugin- + kanaalschema's wanneer beschikbaar); Raw JSON-editor is alleen beschikbaar wanneer de momentopname een veilige raw round-trip heeft.
• Als een momentopname raw tekst niet veilig heen en terug kan laten gaan, dwingt Control UI de Form-modus af en schakelt Raw-modus uit voor die momentopname.
• Raw JSON-editor "Reset to saved" behoudt de raw-auteursvorm (opmaak, opmerkingen, $include-indeling) in plaats van een afgevlakte momentopname opnieuw te renderen, zodat externe bewerkingen een reset overleven wanneer de momentopname veilig heen en terug kan.
• Gestructureerde SecretRef-objectwaarden worden alleen-lezen weergegeven in formuliertekstinvoeren om onbedoelde object-naar-string-corruptie te voorkomen.

• Debug: status-/health-/models-momentopnamen + gebeurtenissenlog + handmatige RPC-aanroepen (status, health, models.list).
• Het gebeurtenissenlog bevat Control UI-verversings-/RPC-timings, timings voor trage chat-/config-rendering en browserresponsiviteitsitems voor lange animatieframes of lange taken wanneer de browser die PerformanceObserver-entrytypen beschikbaar stelt.
• Logs: live tail van gateway-bestandslogs met filter/export (logs.tail).
• Update: voer een package-/git-update + herstart uit (update.run) met een herstartrapport, en poll daarna update.status na herverbinding om de actieve gateway-versie te verifiëren.

• Voor geïsoleerde taken is aankondigingssamenvatting de standaardlevering. Je kunt overschakelen naar geen als je alleen interne runs wilt.
• Kanaal-/doelvelden verschijnen wanneer aankondigen is geselecteerd.
• Webhook-modus gebruikt delivery.mode = "webhook" met delivery.to ingesteld op een geldige HTTP(S)-webhook-URL.
• Voor hoofdsessietaken zijn webhook- en geen-leveringsmodi beschikbaar.
• Geavanceerde bewerkingsopties omvatten verwijderen-na-uitvoeren, agent-override wissen, cron exact/stagger-opties, agentmodel-/thinking-overrides en best-effort-leveringsschakelaars.
• Formuliervalidatie is inline met fouten op veldniveau; ongeldige waarden schakelen de opslagknop uit totdat ze zijn opgelost.
• Stel cron.webhookToken in om een speciaal bearer-token te verzenden; indien weggelaten wordt de webhook zonder auth-header verzonden.
• Verouderde fallback: opgeslagen legacy-taken met notify: true kunnen nog steeds cron.webhook gebruiken totdat ze zijn gemigreerd.

• chat.send is niet-blokkerend: het bevestigt direct met { runId, status: "started" } en het antwoord streamt via chat-events.
• Chat-uploads accepteren afbeeldingen plus niet-videobestanden. Afbeeldingen behouden het native afbeeldingspad; andere bestanden worden opgeslagen als beheerde media en in de geschiedenis weergegeven als bijlagelinks.
• Opnieuw verzenden met dezelfde idempotencyKey retourneert { status: "in_flight" } terwijl de uitvoering loopt, en { status: "ok" } na voltooiing.
• chat.history-antwoorden zijn in omvang begrensd voor UI-veiligheid. Wanneer transcriptitems te groot zijn, kan de Gateway lange tekstvelden inkorten, zware metadatablokken weglaten en te grote berichten vervangen door een placeholder ([chat.history omitted: message too large]).
• Door de assistent gegenereerde afbeeldingen worden bewaard als beheerde mediareferenties en teruggegeven via geauthenticeerde Gateway-media-URL's, zodat herladen niet afhankelijk is van onbewerkte base64-afbeeldingspayloads die in het chatgeschiedenisantwoord blijven staan.
• Bij het renderen van chat.history verwijdert de Control UI inline directivetags die alleen voor weergave zijn bedoeld uit zichtbare assistenttekst (bijvoorbeeld [[reply_to_*]] en [[audio_as_voice]]), XML-payloads voor tool-aanroepen in platte tekst (waaronder <tool_call>...</tool_call>, <function_call>...</function_call>, <tool_calls>...</tool_calls>, <function_calls>...</function_calls> en ingekorte tool-aanroepblokken), en gelekte ASCII-/full-width modelbesturingstokens, en laat assistentitems weg waarvan de volledige zichtbare tekst alleen het exacte stille token NO_REPLY / no_reply of het Heartbeat-bevestigingstoken HEARTBEAT_OK is.
• Tijdens een actieve verzending en de laatste geschiedenisverversing houdt de chatweergave lokale optimistische gebruikers-/assistentberichten zichtbaar als chat.history kort een oudere snapshot retourneert; het canonieke transcript vervangt die lokale berichten zodra de Gateway-geschiedenis is bijgewerkt.
• Live chat-events zijn afleveringsstatus, terwijl chat.history opnieuw wordt opgebouwd uit het duurzame sessietranscript. Na tool-final-events laadt de Control UI de geschiedenis opnieuw en voegt alleen een kleine optimistische staart samen; de transcriptgrens is gedocumenteerd in WebChat.
• chat.inject voegt een assistentnotitie toe aan het sessietranscript en broadcast een chat-event voor UI-only updates (geen agentuitvoering, geen kanaalaflevering).
• De chatkop toont het agentfilter vóór de sessiekiezer, en de sessiekiezer is beperkt tot de geselecteerde agent. Wisselen van agent toont alleen sessies die aan die agent zijn gekoppeld en valt terug op de hoofdsessie van die agent wanneer deze nog geen opgeslagen dashboardsessies heeft.
• Op desktopbreedtes blijven chatbedieningselementen op één compacte rij staan en klappen ze in tijdens het omlaag scrollen door het transcript; omhoog scrollen, terugkeren naar de bovenkant of de onderkant bereiken herstelt de bedieningselementen.
• Opeenvolgende dubbele tekst-only berichten worden weergegeven als één ballon met een aantalbadge. Berichten met afbeeldingen, bijlagen, tool-uitvoer of canvasvoorvertoningen blijven niet samengevouwen.
• De model- en denk-kiezers in de chatkop patchen de actieve sessie direct via sessions.patch; het zijn permanente sessie-overschrijvingen, geen verzendopties voor slechts één beurt.
• /new typen in de Control UI maakt dezelfde nieuwe dashboardsessie als Nieuwe chat aan en schakelt ernaar over. /reset typen behoudt de expliciete in-place reset van de Gateway voor de huidige sessie.
• De chatmodelkiezer vraagt de geconfigureerde modelweergave van de Gateway op. Als agents.defaults.models aanwezig is, stuurt die allowlist de kiezer aan. Anders toont de kiezer expliciete models.providers.*.models-items plus providers met bruikbare authenticatie. De volledige catalogus blijft beschikbaar via de debug-models.list-RPC met view: "all".
• Wanneer verse Gateway-sessiegebruiksrapporten hoge contextdruk tonen, toont het chatcomposergebied een contextmelding en, op aanbevolen Compaction-niveaus, een compacte knop die het normale sessie-Compaction-pad uitvoert. Verouderde tokensnapshots worden verborgen totdat de Gateway opnieuw vers gebruik rapporteert.

De praatmodus gebruikt een geregistreerde realtime spraakprovider. Configureer OpenAI met talk.realtime.provider: "openai" plus talk.realtime.providers.openai.apiKey, of configureer Google met talk.realtime.provider: "google" plus talk.realtime.providers.google.apiKey. De browser ontvangt nooit een standaard provider-API-sleutel. OpenAI ontvangt een kortstondig Realtime-clientgeheim voor WebRTC. Google Live ontvangt een eenmalig beperkt Live API-authenticatietoken voor een browser-WebSocket-sessie, waarbij instructies en tooldeclaraties door de Gateway in het token zijn vastgezet. Providers die alleen een backend-realtimebrug aanbieden, lopen via het Gateway-relaytransport, zodat referenties en leverancierssockets server-side blijven terwijl browseraudio via geauthenticeerde Gateway-RPC's beweegt. De Realtime-sessieprompt wordt samengesteld door de Gateway; talk.client.create accepteert geen door de aanroeper aangeleverde instructie-overschrijvingen.

In de chatcomposer is de Praat-bediening de golfknop naast de microfoondictatieknop. Wanneer Praat start, toont de composerstatusrij Connecting Talk..., daarna Talk live terwijl audio is verbonden, of Asking OpenClaw... terwijl een realtime tool-aanroep het geconfigureerde grotere model raadpleegt via talk.client.toolCall.

Live-smoke voor maintainers: OPENAI_API_KEY=... GEMINI_API_KEY=... node --import tsx scripts/dev/realtime-talk-live-smoke.ts verifieert de OpenAI-browser-WebRTC-SDP-uitwisseling, de Google Live-browser-WebSocket-configuratie met beperkt token en de Gateway-relaybrowseradapter met nep-microfoonmedia. De opdracht print alleen providerstatus en logt geen geheimen.

• Klik op Stoppen (roept chat.abort aan).
• Terwijl een uitvoering actief is, worden normale vervolgberichten in de wachtrij geplaatst. Klik op Sturen bij een bericht in de wachtrij om dat vervolgbericht in de lopende beurt te injecteren.
• Typ /stop (of losstaande afbreekzinnen zoals stop, stop action, stop run, stop openclaw, please stop) om out-of-band af te breken.
• chat.abort ondersteunt { sessionKey } (geen runId) om alle actieve uitvoeringen voor die sessie af te breken.

• Wanneer een uitvoering wordt afgebroken, kan gedeeltelijke assistenttekst nog steeds in de UI worden getoond.
• Gateway bewaart afgebroken gedeeltelijke assistenttekst in de transcriptgeschiedenis wanneer gebufferde uitvoer bestaat.
• Bewaarde items bevatten afbreekmetadata zodat transcriptconsumenten afgebroken gedeeltelijke uitvoer kunnen onderscheiden van normale voltooiingsuitvoer.

{
  gateway: {
    controlUi: { allowInsecureAuth: true },
    bind: "tailnet",
    auth: { mode: "token", token: "replace-me" },
  },
}

allowInsecureAuth is alleen een lokale compatibiliteitsschakelaar:

• Hiermee kunnen localhost-Control UI-sessies doorgaan zonder apparaatidentiteit in niet-beveiligde HTTP-contexten.
• Hiermee worden koppelingscontroles niet omzeild.
• Hiermee worden vereisten voor apparaatidentiteit op afstand (niet-localhost) niet versoepeld.

{
  gateway: {
    controlUi: { dangerouslyDisableDeviceAuth: true },
    bind: "tailnet",
    auth: { mode: "token", token: "replace-me" },
  },
}

• Geslaagde trusted-proxy-authenticatie kan operator-Control UI-sessies toelaten zonder apparaatidentiteit.
• Dit geldt niet voor Control UI-sessies met een node-rol.
• Reverse proxies via same-host loopback voldoen nog steeds niet aan trusted-proxy-authenticatie; zie Trusted proxy-authenticatie.

• gatewayUrl wordt na het laden opgeslagen in localStorage en uit de URL verwijderd.
• Als u een volledig ws://- of wss://-eindpunt via gatewayUrl doorgeeft, URL-codeer dan de gatewayUrl-waarde zodat de browser de querystring correct parseert.
• token moet waar mogelijk via het URL-fragment (#token=...) worden doorgegeven. Fragmenten worden niet naar de server verzonden, waardoor lekken via verzoeklogs en Referer wordt vermeden. Verouderde ?token=-queryparameters worden voor compatibiliteit nog steeds eenmalig geïmporteerd, maar alleen als fallback, en worden direct na bootstrap verwijderd.
• password wordt alleen in het geheugen bewaard.
• Wanneer gatewayUrl is ingesteld, valt de UI niet terug op configuratie- of omgevingsreferenties. Geef token (of password) expliciet op. Ontbrekende expliciete referenties zijn een fout.
• Gebruik wss:// wanneer de Gateway achter TLS staat (Tailscale Serve, HTTPS-proxy, enz.).
• gatewayUrl wordt alleen geaccepteerd in een top-level venster (niet ingesloten) om clickjacking te voorkomen.
• Niet-loopback Control UI-implementaties moeten gateway.controlUi.allowedOrigins expliciet instellen (volledige origins). Dit omvat externe dev-opstellingen.
• Het opstarten van de Gateway kan lokale origins zoals http://localhost:<port> en http://127.0.0.1:<port> initialiseren vanuit de effectieve runtime-bind en poort, maar externe browser-origins hebben nog steeds expliciete vermeldingen nodig.
• Gebruik gateway.controlUi.allowedOrigins: ["*"] niet, behalve voor strikt gecontroleerde lokale tests. Het betekent elke browser-origin toestaan, niet "kom overeen met welke host ik ook gebruik."
• gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback=true schakelt Host-header-origin-fallbackmodus in, maar dit is een gevaarlijke beveiligingsmodus.