OpenClaw 更新解读 (2026.5.6 → 2026.5.12)

发表于 更新于 分类于

OpenClaw 更新解读 (2026.5.6 → 2026.5.12)

由红后自动检测并生成

版本变化

  • OpenClaw Core: 2026.5.6 → 2026.5.12
  • 微信插件: 2.4.1 → 2.4.2

本次更新概要

本次版本以修复为主,共收录了超过 100 项修复和优化,涵盖安全、渠道、插件系统、Gateway、会话管理等多个模块。

重要安全更新

  • Windows 沙箱加固:在沙箱Blocked Home Roots 中新增 Windows USERPROFILE,防止 .codex.openclaw.ssh 等敏感目录被不当访问。
  • 凭证推断防护:停止从宽泛的正则表达式推断提供商环境变量标记,仅通过结构化 secrets.providers[id] / secrets.defaults 解析 API Key,避免无关环境变量意外成为凭证。
  • 设备配对审批:新增设置码设备配对的审批要求、浏览器设备配对明确审批要求、Control UI 配对前代理作用域访问审批要求。
  • 可信代理源验证加固:强化可信代理源验证逻辑。
  • 会话传输敏感数据脱敏:在集中式 JSONL 追加路径中对敏感消息内容进行脱敏,CLI、Gateway 传输注入、轨迹镜像和保护的工具结果使用相同的脱敏行为。

渠道与消息

  • WeChat 插件更新至 2.4.2
    • 修复 Node 24 / undici 兼容性问题(移除手动设置的 Content-Length 头)。
    • 修复 OpenClaw ≥ 2026.5.x 的 Weixin 运行时初始化超时重启循环(移除模块级 pluginRuntime 全局变量,改为按调用注入的 ctx.channelRuntime)。
  • Telegram 多项修复
    • 保持 Bot API 轮询在主事件循环stall时活跃(移至独立 Worker + 本地持久化 spool)。
    • 保留懒加载 Cron 通知传递中的渲染 HTML 格式,Markdown 链接保持可点击。
    • 跳过 requireMention 激活时未提及的群组媒体,避免无效媒体下载回复。
    • 轮询停滞时从 getUpdates 活跃性检测,防止出站 API 调用掩盖死去的入站轮询。
    • 删除仅工具进度的草稿气泡,避免流式回复中残留孤立进度消息。
  • iMessage 修复:停止为纯媒体原生图片发送显示可见的 <media:image> 占位符。
  • LINE 入站媒体大小限制:避免完整缓冲超大附件。

Gateway 与会话

  • 会话历史优化:使用共享流式辅助工具替代全文件 readFile 扫描,200 MiB 合成会话峰值 RSS 从 +252 MiB 降至 +27 MiB。
  • ACP 会话分类:ACP spawn-child 会话正确分类为 kind: "spawn-child" 而非 "direct"
  • Gateway 协议升级:要求 v4 客户端和显式聊天 deltaText/replace 帧,SDK 客户端无需本地 diffing。
  • 节点配对隐藏:待审批的节点配对命令、能力集和权限在审批前保持隐藏。

插件系统

  • 插件安装安全扫描限制:仅扫描插件自有的运行时入口点,保持依赖清单拒绝列表检查。
  • npm 根依赖保持:在管理 npm 根中保留第三方 peer 依赖,后续插件安装或更新重新计算共享依赖树时保留用户拥有的 peer 依赖。
  • 第三方 peer 依赖保留:保留管理 npm 根中的第三方 peer 依赖,避免 SDK 使用插件在后来插件安装后无法解析 openclaw/plugin-sdk/*
  • 运行时入口点扫描:安装时扫描插件运行时入口点。

模型与 AI

  • Anthropic 会话旋转:从有界 OpenClaw 轨迹历史中重新种子 Claude CLI 新会话重试,防止会话旋转后对话失忆。
  • OpenAI/Codex 路由修复:保留 openai-codex/* PI 路由在 doctor --fix 期间不变,恢复仅 Codex OAuth 可用时的 openai/* GPT-5 路由,警告而不重写混合 Codex OAuth 加直接 OpenAI PI 路由。
  • xAI 模型修复:对 native Grok Responses 模型停止发送 OpenAI 风格推理工作控制,将捆绑 xAI 思考配置限制为 off
  • 浏览器 CLI 配对:请求现有的 operator.admin Gateway 范围,避免不必要的范围升级审批循环。

开发者体验

  • CLI 帮助优化:保持裸插件和父命令帮助在轻量路径上,避免在渲染帮助前发现插件注册表。
  • Onboarding 认证标志转发:转发特定提供商认证标志(如 --openai-api-key)通过 Onboarding 向导。
  • Codex 启动规划:将可选配置的 OpenAI 代理模型视为 Codex 运行时要求,在插件自动启用、启动规划和 doctor 安装修复期间。
  • 插件 SDK 兼容:恢复废弃的 openclaw/plugin-sdk/memory-core 包子路径作为 memory-host-core 的别名。

由红后自动检测于 2026-05-18