版本跃迁:2026.3.24 → 2026.3.28
发布日期:2026-03-29 📅
更新类型:🔒安全修复 + 🛠️可靠性增强
紧急程度:🟡 建议更新(含多项安全加固)
🔒 安全更新:多项高危漏洞修复!
1️⃣ 浏览器控制安全加固
| 修复项 |
具体措施 |
| 文件上传/下载路径遍历 |
限制输出路径到 OpenClaw temp 根目录,阻止 traversal/escape 路径 |
| 下载文件名 sanitization |
清理 suggestedFilename,保持路径在 downloads 根目录内 |
| 文件选择器路径限制 |
限制上传路径到 temp uploads 根目录 |
| 沙盒浏览器桥接认证 |
要求认证才能访问 /profiles、/tabs、CDP URLs 等控制端点 |
2️⃣ Gateway 安全加固
| 修复项 |
说明 |
| 工具调用安全 |
默认拒绝高风险工具(sessions_spawn、gateway 等)通过 HTTP |
| Canvas IP 认证 fallback |
仅限机器范围地址(RFC1918、link-local、ULA IPv6、CGNAT) |
| WebSocket 头 sanitization |
清理和截断不可信 WebSocket 头值,防止 log-poisoning |
| Node exec 审批绕过修复 |
绑定 gateway exec-approval 记录到 runId,防止参数注入 |
3️⃣ 插件/技能安装安全
| 修复项 |
说明 |
| 路径遍历防护 |
验证插件/技能安装路径,拒绝 traversal 名称 |
| npm 安装脚本防护 |
使用 --ignore-scripts 防止 lifecycle 执行 |
| 技能命令注册限制 |
每个 bot 限制 100 个命令,避免 BOT_COMMANDS_TOO_MUCH |
4️⃣ 其他安全修复
- Memory 安全:自动捕获默认禁用(需显式
autoCapture: true),防止 PII 自动收集
- Prompt 注入防护:将召回记忆视为不可信上下文,跳过可能的注入 payload
- 媒体安全:拒绝过大 base64 附件,限制 URL 媒体 fetch 大小
- 配对 token 加固:生成 256-bit base64url token,使用常量时间验证
✨ 新功能:Agents 可靠性 + Memory 优化!
1️⃣ Agents 可靠性提升
| 功能 |
说明 |
| 超时故障转移 |
空 stream 失败视为 timeout 信号,启用 auth-profile 轮换 |
| 工具调用 ID 修复 |
修复 OpenAI/Codex 工具调用 ID,防止会话历史污染 |
| 上下文溢出恢复 |
自动压缩 + 重置会话重试,避免崩溃 |
| 图片大小限制 |
在发送前限制过大图片 payload,表面尺寸错误 |
2️⃣ Memory QMD 后端优化
| 优化项 |
说明 |
| 搜索模式选择 |
新增 memory.qmd.searchMode(query/search/vsearch) |
| 集合重新绑定 |
当集合元数据漂移时自动重新绑定,防止复用错误集合路径 |
| 索引验证 |
openclaw memory index 验证并打印 QMD 索引文件路径/大小 |
| 自修复机制 |
检测 null-byte 失败后重建集合并重试更新 |
| 批量嵌入索引 |
OpenAI 批量索引默认启用,支持并行作业(默认并发 2) |
3️⃣ Cron 调度可靠性
| 修复项 |
说明 |
| 定时器漂移修复 |
修复长期运行网关的定时器漂移问题 |
| 重启捕获 |
网关重启后正确恢复调度 |
| 锁竞争优化 |
减少并发作业的锁竞争 |
| 交付模式 |
默认 isolated 作业使用 announce 交付 |
4️⃣ 新 Provider 支持
| Provider |
说明 |
| Hugging Face |
一级 Provider 支持,onboarding 认证流程 |
| vLLM |
支持 onboarding 和模型发现 |
| xAI (Grok) |
web_search provider 支持 |
| Baidu Qianfan |
新增 Provider 支持 |
5️⃣ 渠道增强
| 渠道 |
新功能 |
| Discord |
角色基础 allowlist + 角色基础 agent 路由 |
| Telegram |
块引用渲染为原生 <blockquote>,支持 DM 话题作为独立会话 |
| Slack |
默认 replyToMode: "all",支持线程所有权门控 |
| Feishu |
流式卡片回复 + Card Kit API 支持 |
| BlueBubbles |
支持语音消息波形预览,Private API 降级处理 |
6️⃣ CLI/Gateway 改进
| 功能 |
说明 |
| 插件卸载 |
新增 openclaw plugins uninstall,支持 --dry-run/--force |
| 本地时间日志 |
openclaw logs --local-time 显示本地时区时间戳 |
| Gateway 重启排水 |
重启前排水活跃 turn,防止消息丢失 |
| Control UI 资产恢复 |
更新后自动恢复缺失的 UI 资产 |
🐛 重要修复:全渠道稳定性提升
1️⃣ Telegram 修复
| 修复项 |
说明 |
| 长消息分块 |
HTML 消息自动分块,保留纯文本 fallback |
| 轮询稳定性 |
修复 grammY 长轮询超时错误 |
| 话题路由 |
修复论坛话题 binding 继承问题 |
| 命令注册限制 |
限制 100 个命令,避免 BOT_COMMANDS_TOO_MUCH |
2️⃣ Discord 修复
| 修复项 |
说明 |
| 线程路由 |
自动线程回复路由到现有线程而非根频道 |
| 权限检查 |
将 Administrator 视为完整权限 |
| 代理支持 |
可选 gateway 代理支持 WebSocket 连接 |
| DM 反应处理 |
处理 DM 反应而非静默丢弃 |
3️⃣ WhatsApp 修复
| 修复项 |
说明 |
| 媒体文件名 |
保留入站文档原始文件名 |
| 语音消息 MIME |
当 Baileys 省略时默认 MIME 类型 |
| Markdown 格式 |
转换粗体/删除线为 WhatsApp 格式 |
4️⃣ Agent/Tools 修复
| 修复项 |
说明 |
| 工具策略持久化 |
修复跨压缩重试的工具配置丢失问题 |
| 会话锁定 |
进程终止时释放会话锁 |
| 图片工具 cap |
按模型能力限制 maxTokens(min(4096, model.maxTokens)) |
| Exec 允许列表 |
修复 POSIX 大小写敏感问题,防止绕过限制 |
5️⃣ Memory 修复
| 修复项 |
说明 |
| 向量搜索 |
修复 L2 标准化问题,提升语义搜索准确性 |
| 嵌入缓存 |
SQLite 嵌入缓存加速重新索引 |
| QMD 查询范围 |
限制到 OpenClaw 管理的集合 |
| 空结果处理 |
将纯文本 “No results found” 视为空结果 |
6️⃣ Control UI 修复
| 修复项 |
说明 |
| 资产路径 |
修复全局 npm 安装的资产解析问题 |
| 会话删除 |
支持从 Control UI 删除会话 |
| 配置表单 |
修复枚举类型化 + 空字符串保留 |
| 聊天布局 |
防止双重滚动,固定到视口 |
⚠️ Breaking Changes
1️⃣ Memory 自动捕获默认禁用
- 变更:
autoCapture 默认改为 false(之前为 true)
- 影响:需要显式启用才能自动捕获记忆
- 迁移:在配置中添加
"autoCapture": true
2️⃣ Gateway 工具默认拒绝
- 变更:高风险工具默认通过 HTTP
/tools/invoke 拒绝
- 影响:需要显式配置
gateway.tools.allow 启用
- 迁移:运行
openclaw doctor --fix 审查配置
3️⃣ Canvas IP 认证收紧
- 变更:Canvas IP 基础认证 fallback 仅限机器范围地址
- 影响:公共来源 IP 需要 bearer token 认证
- 迁移:使用 HTTPS(Tailscale Serve)或设置
gateway.controlUi.allowInsecureAuth: true
📊 版本统计
| 指标 |
数值 |
| 安全修复 |
20+ 项 |
| 新功能 |
15+ 项 |
| Bug 修复 |
60+ 项 |
| 贡献者 |
50+ |
| PR 数量 |
70+ |
🚀 更新指南
🟡 更新优先级:中高
更新理由:
- 20+ 项安全加固(浏览器/Gateway/Memory)
- Agents 可靠性显著提升
- Memory QMD 后端优化
- 全渠道稳定性修复
⚙️ 更新方式
openclaw update
npm install -g openclaw@latest
pnpm add -g openclaw@latest
🔍 更新后验证
openclaw --version
openclaw gateway restart
openclaw status
openclaw doctor --fix
🔗 资源链接
- 📂 GitHub Release: [v2026.3.28] https://github.com/openclaw/openclaw/releases/tag/v2026.3.28
- 📚 官方文档: [docs.openclaw.ai] https://docs.openclaw.ai
- 💬 社区讨论: [Discord] https://discord.com/invite/clawd
- 🛠️ 技能市场: [ClawdHub] https://clawhub.ai
📝 更新检查清单
更新前:
更新后:
🎯 OpenClaw 2026.3.28 —— 更安全、更可靠、更强大!
本文由 PM 墨者的 AI 助手「小墨」基于官方 CHANGELOG 精心整理 🤖✨
所有评论(0)