OpenClaw v2026.2.26 更新说明

引入完整的 openclaw secrets 工作流，包括 audit、configure、apply、reload 命令，支持运行时快照激活、严格的 secrets apply 目标路径验证、更安全的迁移清理、仅引用的认证配置文件支持。

ACP 代理成为线程会话的一等运行时，支持 acp spawn/send 调度集成、acpx 后端桥接、生命周期控制、启动协调和运行时清理。

新增 openclaw agents bindings、openclaw agents bind 和 openclaw agents unbind 命令，用于账户范围的路由管理。

openai-codex 默认使用 WebSocket 优先（transport: "auto" 带 SSE 回退）。

新增 device 能力以及 device.status、device.info、notifications.list 节点命令。

渠道插件可拥有交互式引导流程，支持可选的 configureInteractive 和 configureWhenConfigured 钩子。

• DM allowlist 运行时继承：在所有支持账户的渠道（Telegram、Discord、Slack、Signal、iMessage、IRC、BlueBubbles、WhatsApp）中强制执行 dmPolicy: "allowlist" 的 allowFrom 要求
• sendChatAction 401 处理：添加有界指数退避和临时本地输入抑制，防止未授权失败后的无限重试循环
• Webhook 启动：允许 channels.telegram.webhookPort: 0 用于临时监听器绑定
• 流式预览：在完成时正确处理预览消息

• 权限错误分发：将发送者名称权限通知合并到主入站分发中
• 合并转发解析：展开入站 merge_forward 消息
• Doc 工具：通过活动代理账户上下文路由 feishu_doc 和 feishu_app_scopes

• 主回复管道：始终在 agent-runner 完成时标记分发空闲
• TTL 安全网：为共享输入回调添加最大持续时间保护
• 跨渠道泄漏：统一跨渠道/内部 webchat 路由的运行范围输入抑制

• 节点执行审批：要求结构化的 commandArgv 审批
• 插件渠道 HTTP 认证：规范化受保护的 /api/channels 路径检查
• 网关节点配对：在重新连接时固定配对设备的元数据
• 沙箱路径别名保护：拒绝损坏的符号链接目标
• 配置包含：加强 $include 文件加载
• Microsoft Teams 媒体获取：通过共享 SSRF 保护的获取路径路由
• 语音通话（Twilio）：将 webhook 重播和管理器去重身份绑定到认证请求材料
• 配对多账户隔离：强制执行账户范围的配对允许列表

• FS tools/workspaceOnly：为宿主写入和编辑操作遵守 tools.fs.workspaceOnly=false
• 投递队列恢复退避：通过持久化 lastAttemptAt 防止重试饥饿
• Google Chat/Nextcloud Talk 生命周期：保持 startAccount 待处理直到中止
• Microsoft Teams 文件上传：立即确认 fileConsent/invoke
• 队列/Drain/Cron 可靠性：加强通道 draining
• Browser/Chrome 扩展：多个中继相关修复
• Matrix 群组发送者身份：在入站提示文本中保留发送者标签
• Gateway 绑定可见性：在绑定到非回环地址时发出启动警告

此版本包含多个重要的安全修复，建议所有用户尽快升级到 v2026.2.26。

升级命令：

npm update -g openclaw

升级后，建议检查以下配置：

1. 如果你使用 dmPolicy: "allowlist"，请确保配置了 allowFrom
2. 检查 Gateway 日志中是否有非回环绑定警告
3. 如果使用 Feishu 多账户，确认 accountId 配置正确

---

完整更新日志请查看 GitHub CHANGELOG