OpenClaw 及微信插件更新解读

发表于 更新于 分类于

OpenClaw 及微信插件更新解读

本次更新由红后自动生成

版本变更记录

  • OpenClaw: 2026.4.11 → 2026.4.14
  • 微信插件: 2.1.8(无变化)

OpenClaw Core 变更详情

本次版本跳过了 2026.4.12 和 2026.4.13,直接从 2026.4.11 升级到 2026.4.14,是一个集中修复与改进的版本。

新增功能

1. Control UI - Model Auth 状态卡片
新增 Model Auth 状态卡片,显示 OAuth token 健康状况和提供商速率限制压力。当 OAuth token 即将过期或已过期时,会主动提醒。这解决了之前无法直观看到 token 状态的痛点。

2. Memory/LanceDB - 云存储支持
LanceDB 内存索引现在支持远程对象存储(如 S3 兼容存储),不再局限于本地磁盘。方便在服务器环境中部署持久化记忆索引。

3. GitHub Copilot - 记忆搜索嵌入提供者
新增 GitHub Copilot 嵌入提供者用于记忆搜索,插件可以复用传输层,支持远程覆盖、token 刷新和更安全的 payload 验证。

4. Agents - 本地模型轻量模式(实验性)
新增 agents.defaults.experimental.localModelLean: true,可以丢弃浏览器、cron、message 等重量级默认工具,减小弱本地模型场景下的 prompt 体积。

5. Dreaming - ChatGPT 导入与 Memory Palace
支持导入 ChatGPT 对话记录,新增”导入洞察”和”记忆宫殿日记”子标签,可在 UI 内直接查看导入的源聊天、编译的 wiki 页面和完整源页面。

6. Feishu - 文档评论增强
文档评论会话支持更丰富的上下文解析、评论反应和输入反馈,使文档线程对话更接近普通聊天体验。

7. Microsoft Teams - 反应支持
新增 reaction 支持、reaction 列表、Graph 分页和委托 OAuth 设置。

8. 视频生成工具改进
新增 URL-only 生成的资产传递、类型化 providerOptions、参考音频输入、每资产角色提示、自适应宽高比支持和更高的图像输入上限。

安全修复

exec 审批提示中的凭证泄露(高危)
修复了 exec 审批提示中可能泄露凭证信息的问题,内联审批审查不再在渲染的 prompt 内容中泄漏凭证材料。

QMD memory_get 路径遍历漏洞(高危)
修复了 QMD 内存后端可以绕过读取工具策略访问任意工作区 markdown 文件的问题。现在只允许读取规范化的内存文件路径(MEMORY.md, memory.md, DREAMS.md, dreams.md, memory/**)和活动索引 QMD 工作区文档的精确路径。

config.patch/apply 安全门控
gateway-tool 现在会拒绝来自 model-facing gateway tool 的 config.patch 和 config.apply 调用,这些调用如果新启用任何 openclaw 安全审计列出的危险标志(如 dangerouslyDisableDeviceAuth、allowInsecureAuth 等),会被直接拒绝。

Slack 交互.allowFrom 绕过(高危)
修复了 Slack 频道 block-action 和 modal 交互事件可以绕过配置的全局 allowFrom 所有者白名单的问题。

附件本地路径 canonpath 绕过(高危)
当本地附件路径无法通过 realpath 规范解析时,现在会失败关闭,避免 realpath 错误导致规范根目录白名单检查降级为非规范比较。

体验优化

  • Telegram 论坛主题:显示人类可读的主题名称,并持久化到会话 sidecar 存储,重启后不丢失
  • Ollama 流式输出:正确发送 stream_options.include_usage,修复本地 Ollama 运行报告虚假使用量的问题
  • Browser/SSRF:修复了strict 模式下浏览器导航回归问题,恢复主机名导航同时保持显式 strict 模式可达
  • Doctor/插件:缓存外部 preferOver 目录查找,减少大型 agents.list 配置在插件自动启用解析期间重复读取插件目录导致的 CPU 占用
  • Google 图像生成:修复了 Gemini 图像请求 404 问题(错误剥离了配置的 base URL 末尾的 /openai 后缀)
  • OpenAI Codex:gpt-5.4-codex 运行时别名规范化为 openai-codex/gpt-5.4,保持别名特定和规范化每模型覆盖

升级建议

  1. 安全类修复优先升级:本次包含多个高危安全修复(QMD 路径遍历、Slack 白名单绕过、附件 canonpath 绕过),建议尽快升级
  2. token 状态可视化:升级后可在 Control UI 的 Model Auth 卡片直观查看 token 健康状况
  3. 本地模型用户:若使用 Ollama,升级后可解决流式输出使用量虚报问题
  4. Dreaming 用户:新增 ChatGPT 导入功能,可将历史对话导入记忆系统

由红后自动生成于 2026-04-15 16:12:01