乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > OpenClaw v2026.4.23 发布:图像生成与安全加固全面升级

OpenClaw v2026.4.23 发布:图像生成与安全加固全面升级

当前时间: 2026-04-25 12:21:49 更新时间: 2026-04-25 分类:软件教程 评论(0)

OpenClaw v2026.4.23 发布:图像生成与安全加固全面升级

OpenClaw v2026.4.23 发布:图像生成与安全加固全面升级

Codex OAuth 图像生成、30+ 安全修复、记忆系统重构

我是atyou, 今天教大家OpenClaw v2026.4.23 新特性解读

2026年4月24日,OpenClaw 发布了 v2026.4.23 正式版,这是自 v2024 版本以来最重要的更新之一。在不到24小时内连续发布6个beta版本,最终累积了8项核心变更和60+项错误修复。

本次更新的核心亮点有三个:第一,OpenAI Codex OAuth 图像生成正式支持,无需 API Key 即可使用 gpt-image-2;第二,安全修复数量创下新高,涉及 Android、Discord、WhatsApp、Teams 等多个平台;第三,记忆系统的「梦境」功能完成解耦,不再依赖心跳服务。

本文将深入解析这些更新的技术细节、使用场景和迁移注意事项。

— — — — — — — — — —

一、图像生成能力大升级

本次更新在图像生成领域投入了大量资源,实现了多项突破性改进。

Step 1OpenAI Codex OAuth 图像生成

通过 Codex OAuth 认证,`openai/gpt-image-2` 模型现在可以直接使用,无需配置 `OPENAI_API_KEY`。这意味着用户在 OpenAI Codex 已认证的环境中可以零配置开启图像生成能力。

底层实现上,参考图像编辑(reference-image editing)改为通过 guarded multipart 上传而非 JSON data URLs,恢复了复杂多参考 `gpt-image-2` 编辑功能。修复了 gpt-image-2 在多图编辑场景下的兼容性问题(Issue #70642)。

💡前提条件

需要在 OpenClaw 中配置 openai-codex profile,并且完成 Codex OAuth 认证流程。

Step 2OpenRouter 图像生成支持

通过 `image_generate` 工具,OpenRouter 的图像模型现在可以使用 `OPENROUTER_API_KEY` 进行图像生成和参考图像编辑。感谢社区贡献者 @notamicrodose 的实现(PR #67668)。

同时修复了 OpenRouter 多模态模型的图像理解问题——图像理解提示词现在以用户文本形式发送,而非图像 parts,恢复了非空 vision 响应(Issue #70410)。

Step 3图像生成参数扩展

Agent 现在可以请求 provider 支持的质量和输出格式提示,并通过 `image_generate` 工具传递 OpenAI 特定的 background、moderation、compression 和 user 提示。

新增了可选的 `timeoutMs` 参数支持,允许 Agent 在特定生成任务需要更长处理时间时扩展 provider 请求超时。适用于图像、视频、音乐和 TTS 生成工具。

— — — — — — — — — —

二、Codex 集成深度优化

Codex 作为 OpenClaw 的核心能力之一,本次更新在 harness 层面进行了多项改进。

Step 1Windows PATHEXT 支持

在 Windows 环境下,通过 PATHEXT 解析 npm 安装的 `codex.cmd` shims,再启动原生 app-server,解决了 `codex/*` 模型在 Windows 上需要手动创建 .exe shim 的问题(Issue #70913)。

⚠️踩坑

之前 Windows 用户需要手动配置 codex.exe 路径,更新后只需确保 codex.cmd 在 PATH 中即可。

Step 2Harness 选择状态可见性

为 `/status` 命令添加了嵌入式 harness 选择决策的结构化调试日志,`/status` 保持简洁输出,而 gateway 日志记录自动选择和 Pi 回退原因。

Harness 选择现在按会话固定,非 PI harness ID(如 `codex`)会显示在 `/status` 中,配置变更不会热切换现有会话。

Step 3认证与模型发现

当 Codex 目录发现遗漏时,会合成 `openai-codex/gpt-5.5` OAuth 模型行,确保 cron 和 subagent 运行不会因「Unknown model」而失败。

从聊天或 CLI 命令添加模型时保留 Codex provider 元数据,确保手动添加的 Codex 模型具有正确的认证和路由行为(PR #70820)。

— — — — — — — — — —

三、安全加固(30+ 项)

本次更新是史上安全修复最多的一次,涵盖 Android、Discord、WhatsApp、Teams、MCP 等多个平台。

Step 1移动端安全

Android:要求 Android 手动和扫描路由仅使用 loopback 纯文本 gateway 连接,私有 LAN 和 link-local `ws://` 端点现在除非启用 TLS 否则失败关闭。

Android:停止 `ASK_OPENCLAW` intents 自动发送注入提示,外部应用操作现在只预填充草稿而非立即发送。

Pairing:要求私有 IP 或 loopback 主机进行纯文本移动配对,停止将 `.local` 或无点主机名视为安全纯文本端点。

🔴重要

如果你的 Android 设备使用私有网络 IP 连接 gateway,需要配置 TLS 或切换到 127.0.0.1。

Step 2平台权限控制

Discord:保持原生斜杠命令频道策略不绕过配置的 owner 或 member 限制。

Teams:要求共享 Bot Framework audience 令牌通过验证的 `appid` 或 `azp` 命名配置的 Teams 应用,阻止跨 bot 令牌重放。

QQBot:`/bot-approve` 需要框架认证,未经授权的 QQ 发送者无法通过未认证的 pre-dispatch 斜杠命令路径更改执行审批设置。

Step 3MCP 安全

停止 ACPX OpenClaw tools bridge 列出或调用 owner-only 工具(如 `cron`),关闭了非 owner MCP 调用者的权限提升路径(PR #70698)。

Plugins:停止 setup-api 查找回退到启动目录,防止工作区本地的 `extensions//setup-api.*` 文件在 provider setup 解析期间被执行。

Step 4配置安全

Gateway:对 agent 驱动的 `gateway config.apply`/`config.patch` 运行时编辑失败关闭,通过允许列表限定 agent 可调的 prompt、model 和 mention-gating 路径,而非依赖手维护的禁止列表(PR #70726)。

Webhooks:每个请求重新解析 `SecretRef` 支持的 webhook 路由 secrets,使 `openclaw secrets reload` 立即撤销之前的 secret 而非等待 gateway 重启(PR #70727)。

Approvals:要求显式启用聊天 exec-approval,而非仅因为 approvers 从配置或 owner allowlist 解析就自动启用。

— — — — — — — — — —

四、记忆系统重构

记忆系统是 OpenClaw 的核心特性,本次更新进行了重要的架构调整。

Step 1梦境功能解耦

Managed dreaming cron 从 heartbeat 解耦,作为隔离的轻量级 agent turn 运行,即使默认 agent 禁用 heartbeat 也能运行,且不再被 `heartbeat.activeHours` 跳过。

`openclaw doctor –fix` 会将持久化 cron 配置中的过时 main-session dreaming jobs 迁移到新形态。修复了 Issue #69811、#67397、#68972。

💡建议

运行 `openclaw doctor –fix` 清理旧的 dreaming 配置,确保迁移到新的架构。

Step 2本地嵌入配置

新增可配置的 `memorySearch.local.contextSize`,默认值为 4096,使本地嵌入上下文可以在受限主机上调整,无需修补 memory host。

Memory/CLI:在 memory-core manifest 中声明内置 `local` 嵌入 provider,使独立 `openclaw memory status`、`index` 和 `search` 可以像 gateway 运行时一样解析本地嵌入。

Step 3Memory Doctor 改进

保持 root durable memory 规范化为 `MEMORY.md`,停止将小写 `memory.md` 视为运行时回退。

新增 `openclaw doctor –fix` 功能,可以将真正的 split-brain root files 合并到 `MEMORY.md` 并备份。

— — — — — — — — — —

五、多平台消息修复

WhatsApp、Telegram、Discord 等平台的消息处理问题得到系统性修复。

Step 1WhatsApp

统一直接发送和自动回复的出站媒体规范化。

WhatsApp/onboarding:保持首次运行设置条目加载在 Baileys 运行时依赖路径之外,修复了打包 QuickStart 安装在运行时 deps 暂存前无法显示 WhatsApp 设置的问题(Issue #70932)。

安全:保持联系人/vCard/位置结构化对象纯文本在内联消息体之外,通过围栏 untrusted metadata JSON 渲染,限制名称、电话字段和位置标签/评论中的隐藏提示注入负载。

Step 2Telegram

修复 Telegram 群聊中当模型或工具发出 `![…](…)` 而非 `MEDIA:` token 时退回到纯文本图像 URL 的问题。

解析远程 markdown 图像语法到最终回复路径的出站媒体负载,确保图片正确显示而非文本链接。

Step 3Slack

Slack/groups:将 MPIM 群组 DMs 分类为群组聊天上下文,抑制 Slack 非 DM 表面的详细工具/计划进度,停止内部「Working…」跟踪泄漏到房间。

修复了 Issue #70912。

— — — — — — — — — —

六、其他重要修复

除了核心功能,还有大量细节改进。

Step 1流式传输

Block streaming:部分 block 传递中止时,当已发送的文本块精确覆盖最终回复时抑制最终组装文本,防止重复回复而不丢弃不相关的短消息。修复了 Issue #70921。

Step 2WebChat

持久化 assistant 生成的图像为认证托管媒体,接受配对设备令牌进行 assistant 媒体获取,webchat 历史重载继续显示生成的图像。

保留文本优先模型图像附件为 media refs 而非丢弃,使配置的图像工具可以检查原始文件。修复了 Issue #68513、#44276、#51656、#70212。

Step 3Plugins

Plugin 安装:将 host OpenClaw package 链接到声明 `openclaw` 为 peer dependency 的外部插件。

Plugin startup:恢复 packaged 和 external runtime-deps stage roots 中的 bundled plugin `openclaw/plugin-sdk/*` 解析,修复 Telegram/Discord 在依赖修复后 crash-loop 的问题(Issue #70852)。

Plugins/Windows:在 bundled runtime dependency 修复期间原地刷新 packaged plugin SDK alias。

— — — — — — — — — —

七、常见问题与排错

升级后需要重新配置什么吗?

一般情况下不需要。但如果使用 Android 连接 gateway,需要确保使用 127.0.0.1 或启用 TLS。Codex 用户建议运行 `openclaw doctor –fix` 清理旧的 dreaming 配置。

图像生成功能如何使用?

OpenAI 用户需要配置 openai-codex profile 并完成 OAuth 认证。OpenRouter 用户只需配置 OPENROUTER_API_KEY 即可。

安全修复会影响现有功能吗?

大部分安全修复是收紧策略,不影响正常功能。仅 Android cleartext 连接可能会有影响,需要切换到 TLS 或 loopback。

梦境功能解耦后有什么变化?

Dreaming 不再依赖 heartbeat,即使 heartbeat 被禁用,dreaming 也会正常运行。

— — — — — — — — — —

八、安全建议

所有安全更新已通过验证签名,确保代码完整性。

建议检查你的配置是否使用了私有 IP/loopback 连接 Android gateway。

定期运行 `openclaw secrets reload` 刷新 webhook secrets。

⚠️重要提醒

本文中出现的所有 Token 均为示例或已脱敏处理。请务必使用你自己的 Token,并妥善保管。切勿将敏感凭证提交到 Git 仓库。

— — — — — — — — — —

总结

OpenClaw v2026.4.23 是里程碑级别的更新,图像生成能力全面升级,Codex 集成更加完善。

安全修复数量创下新高,涵盖移动端、平台权限、MCP 等多个领域,建议所有用户尽快升级。

记忆系统架构调整是长期改进的一部分,建议运行 `openclaw doctor –fix` 清理旧配置。

变更类型8 项新功能

错误修复60+ 项

安全修复30+ 项

贡献者28 位

主要平台Windows/macOS/Linux/Android

— — — — — — — — — —

我是atyou, 您有什么感兴趣的主题,可以给我留言让我们一起拥抱AI, 共同进步,享受美好生活。

参考文档:

OpenClaw GitHub Releases → 点击访问

https://github.com/openclaw/openclaw/releases/tag/v2026.4.23

OpenClaw Official Site → 点击访问

https://openclaw.dev

v2026.4.23-beta.4 Full Changelog → 点击访问

https://github.com/openclaw/openclaw/releases/tag/v2026.4.23-beta.4