OpenClaw是一款开源多平台智能网关工具,核心聚焦多渠道集成(含Telegram、Discord、Matrix、Slack等主流平台)、记忆管理与梦境系统、插件扩展、安全防护及跨端适配,广泛应用于自动化交互、QA测试、多渠道消息管控等场景。其核心优势在于灵活可扩展的插件体系、强大的记忆与推理能力,以及全方位的安全防护机制,团队持续通过版本迭代优化功能体验、修复安全隐患、适配多平台生态迭代。本次2026.4.9版本由Peter Steinberger(steipete)于2026年4月9日正式发布,重点围绕记忆/梦境系统升级、安全加固、多平台适配优化三大核心方向,结合社区反馈修复多项已知问题,进一步提升系统的稳定性、安全性与易用性,保障开发者与使用者的高效协作。
发布时间:2026年4月9日 更新地址:https://github.com/openclaw/openclaw/releases/tag/v2026.4.9 本次更新聚焦**记忆/梦境系统、安全防护、多平台适配、插件认证**四大核心方向,新增记忆回填与可视化管理能力,修复多项安全漏洞及平台兼容问题,全面提升系统稳定性、安全性与使用体验,适配各类部署与使用场景。
一、核心功能新增
1. 记忆与梦境系统升级 新增落地式REM回填通道,支持通过`rem-harness –path`命令复用历史日记内容,可直接回放至梦境与持久记忆模块;优化持久事实提取逻辑,实现短期记忆实时提升,无需额外搭建独立记忆栈,降低使用与维护成本。
2. Control UI梦境管理面板 上线结构化日记视图,支持时间轴导航、回填/重置控制、可追踪梦境摘要等功能;新增场景通道与提升提示,提供安全的落地信号清除操作,便于开发者高效管理记忆数据,提升操作便捷性。
3. QA实验室能力增强 新增角色风格评估报告功能,支持模型选择与并行运行模式,可快速对比不同模型的行为表现,大幅提升实时QA测试效率,助力开发者快速验证模型适配效果。
4. 插件提供商认证优化 支持提供商清单声明`providerAuthAliases`配置,实现同提供商不同变体共享环境变量、认证配置及API密钥,无需核心层面额外适配,简化插件认证接入流程,提升开发效率。
5. iOS版本管理规范 将iOS发布版本固定为CalVer格式并存储至`apps/ios/version.json`文件,TestFlight迭代过程中保留短版本号一致性;新增`pnpm ios:version:pin –from-gateway`版本发布工作流,实现版本管控标准化,降低版本管理成本。
二、安全漏洞修复
1. 浏览器安全加固 在点击、脚本执行、钩子触发点击及批量操作等交互驱动的主框架导航后,重新执行目标拦截安全校验,有效防止浏览器交互绕过SSRF隔离规则,杜绝非法URL访问风险,保障系统安全。
2. 环境变量安全管控 禁止不受信任工作区的`.env`文件覆盖运行时、浏览器控制相关环境变量,同时在延迟加载前拦截不安全的浏览器控制URL覆盖符,从源头规避环境变量注入风险。
3. 网关节点执行安全 将远程节点`exec.started`、`exec.finished`、`exec.denied`三类事件标记为不受信任系统事件,在入队前对节点提供的命令、输出及原因文本进行净化处理,防止恶意内容注入系统对话,保障网关运行安全。
4. 插件认证安全 在非交互式部署场景下,阻止不受信任工作区插件与官方提供商认证ID冲突,确保官方提供商配置过程中,操作员密钥不泄露至未授权插件,强化插件认证安全边界。
5. 依赖安全更新 强制将`basic-ftp`依赖升级至5.2.1版本,修复其CRLF命令注入漏洞;同步更新Hono及`@hono/node-server`生产依赖包,提升系统依赖层面的安全性与兼容性。
三、多平台适配优化
1. Android端适配 新QR扫描时自动清除过期授权码,基于全新配对流程初始化操作员与节点会话,后台运行时暂停配对自动重试,彻底解决Android端配对失效问题;TLS网关支持空端口输入,默认使用443端口,适配标准HTTPS Tailscale主机部署场景。
2. Matrix网关优化 等待Matrix同步完成后再标记网关启动成功,对Matrix后台处理异常进行隔离管控,致命同步错误仅触发渠道级重启,避免整个网关崩溃,提升Matrix渠道运行稳定性。
3. Slack渠道适配 同域`files.slack.com`重定向时保留Bearer认证,跨域Slack CDN跳转移除认证,修复`url_private_download`图片附件加载失败问题;优化ACP块回复与部分流式传输逻辑,避免重复发送与内容显示异常,提升Slack渠道使用体验。
4. QQBot媒体适配 支持解析HTML实体编码尖括号(`<`/`>`)、属性内URL斜杠及自闭合媒体标签,确保上游`<qqimg>`等媒体payload能够正确解析与标准化,适配QQBot媒体传输场景。
5. Windows构建优化 为Windows环境下的`pnpm build`构建步骤增加堆内存空间,解决开发更新过程中因默认Node内存不足导致的构建失败问题,提升Windows端开发部署效率。
四、插件与认证体系升级
1. 插件SDK优化 通过公共包导出渠道插件基础类与web-search配置契约,支持插件无私有导入调用;将命令状态构建功能拆分至轻量化`openclaw/plugin-sdk/command-status`子路径,同时保留`command-auth`兼容导出,避免认证仅相关插件导入时加载多余状态/上下文,提升插件开发效率与兼容性。
2. 认证配置持久化 本地认证配置直接持久化存储,跳过外部CLI同步流程,避免因外部凭证状态过期导致的配置失效问题,确保认证配置的稳定性与一致性。
3. 模型认证适配 OpenAI接口默认推理强度设为`high`,兼容WebSocket等传输协议,同时尊重每一次运行的显式推理强度配置;Ollama模型支持在`/think`指令设为非关闭级别时,显示思考输出;Codex CLI同步OpenClaw系统提示配置,确保Codex CLI会话与Claude CLI会话获得一致的提示引导。
五、功能体验与兼容性修复
1. 会话与路由优化 修复快速切换会话时的历史加载异常问题,确保选中会话与渲染转录内容保持同步;`/reset`与`/new`指令可清除自动模型覆盖配置,同时保留用户手动选择的模型设置,兼容覆盖源追踪功能上线前创建的旧会话;跨会话通知保留已建立的外部路由,避免`session_send`后续操作抢占Telegram、Discord等外部渠道的投递权限。
2. 回复与控制修复 屏蔽`ANNOUNCE_SKIP`等内部控制令牌,避免其泄露至用户可见界面;清理回复中的`NO_REPLY`静默标记,防止无效文本干扰用户体验,同时保留带有实质内容的`NO_REPLY …`文本;采用运行时快照处理队列回复,提前解析回复运行的SecretRefs,明确网关OAuth重授权失败提示,并通过`openclaw doctor`命令给出具体重授权指令,提升问题排查效率。
3. 打包与部署优化 镜像同步捆绑渠道运行时依赖,暂存Nostr运行时依赖,根据清单与构建块推导所需根镜像;测试发布tar包时不依赖仓库`node_modules`,确保全新安装时可快速检测缺失依赖并报错,避免运行时崩溃;修复Matrix旧版配置迁移问题,`openclaw doctor –fix`命令可自动将legacy `channels.matrix.dm.policy: “trusted”`配置迁移至兼容的DM策略,保留显式`allowFrom`边界为`allowlist`,空旧配置默认设为`pairing`。
4. 错误与超时优化 对Z.ai厂商错误码进行分类,将`1311`标记为计费错误、`1113`标记为认证错误(含长包裹`1311` payload),避免此类错误进入通用故障转移流程,提升错误处理精准度;LLM空闲超时继承`agents.defaults.timeoutSeconds`配置,Cron任务关闭未配置的空闲看门狗;净化缺失密钥提示信息,使网关认证问题以可执行错误形式抛出,便于开发者快速定位与解决。
