AI摘要
OpenClaw发布2026.4.9版本,带来多项功能更新与安全修复。新功能包括增强记忆/梦境处理、结构化日记视图、字符氛围评估报告、提供商认证别名及iOS版本控制改进。关键安全修复涉及浏览器SSRF防护、环境变量安全、远程节点事件清理等。官方建议用户尽快升级,特别是使用浏览器功能或连接远程节点的用户。
OpenClaw 今天发布了 2026.4.9 版本,这是一个功能丰富且包含多个安全修复的重要更新。
新功能
1. Memory/Dreaming 增强功能
新增了一个"基础 REM 回填通道"(grounded REM backfill lane),支持:
- 历史 rem-harness --path 日记回放
- 日记提交/重置流程
- 更清晰的事实提取(fact extraction)
- 实时短期记忆集成
这样旧的每日笔记可以重新导入到 Dreams 和持久记忆中,无需额外的记忆堆栈。
2. Control UI/Dreaming 结构化日记视图
控制 UI 新增了结构化的日记视图,包括:
- 时间线导航
- 回填/重置控制
- 可追溯的 dreaming 摘要
- 基础 Scene 通道,带提升提示
- 安全的清除基础(clear-grounded)操作
3. QA/Lab 字符氛围评估报告
添加了字符氛围(character-vibes)评估报告,支持模型选择和并行运行,让实时 QA 可以更快地比较候选模型的行为表现。
4. Plugins/Provider-Auth 提供商认证别名
允许提供商清单声明 providerAuthAliases,这样提供商变体可以共享环境变量、认证配置文件、配置支持的认证和 API 密钥注册选项,无需核心特定布线。
5. iOS 版本控制改进
将 iOS 版本控制固定到显式的 CalVer(在 apps/ios/version.json 中),保持 TestFlight 迭代在同一个短版本上,直到维护者有意升级到下一个网关版本。新增了 pnpm ios:version:pin -- --from-gateway 工作流。
安全修复
- Browser/SSRF: 重新运行阻止目的地安全检查,防止浏览器交互绕过 SSRF 隔离
- Security/dotenv: 阻止运行时控制环境变量和浏览器控制覆盖,拒绝不安全的 URL 样式浏览器控制覆盖说明符
- Gateway/Node: 将远程节点执行事件标记为不受信任的系统事件,在排队前清理节点提供的命令/输出/原因文本
- Plugins/Onboarding: 防止不受信任的工作区插件在非交互式注册期间与捆绑的提供商认证选择 ID 冲突
- Dependency audit: 强制
basic-ftp升级到 5.2.1(修复 CRLF 命令注入),升级 Hono 和@hono/node-server
其他重要修复
- Android/Pairing: 修复了扫描后自动重试、设备令牌保存等问题,改善 Android 配对可靠性
- Matrix/Gateway: 等待 Matrix 同步就绪后再标记启动成功,保持 Matrix 后台处理程序故障隔离
- Slack/Media: 修复了 Slack 附件图片无法加载的问题
- Reply/Doctor: 使用活动运行时快照,在预检助手接触配置前解析 SecretRefs
- Sessions/Routing: 保留跨会话公告流量的已建立外部路由
升级建议
本次更新包含多个安全修复,建议尽快升级,特别是:
- 如果你使用 OpenClaw 的浏览器功能 → 必须升级(SSRF 修复)
- 如果你连接了远程节点 → 建议升级(事件清理修复)
- 如果你使用 Android 应用配对 → 建议升级(配对可靠性改进)
如何升级
# 使用 openclaw CLI
openclaw update
# 或者使用 npm
npm update -g openclaw📦 项目:OpenClaw | 🏷️ 版本:2026.4.9 | 📅 发布日期:2026-04-09
暂无评论
要发表评论,您必须先 登录