乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > OpenClaw 一周动态-2026-W20

OpenClaw 一周动态-2026-W20

当前时间: 2026-05-13 09:02:49 更新时间: 2026-05-13 分类:软件教程 评论(0)

OpenClaw 一周动态-2026-W20

日期范围: 2026-05-05 – 2026-05-12
摘要: 三天三个稳定版,新功能一个没有,全堆在 5.10 beta 里。官方博客发文说”度过了艰难的一周”,HN 评论区的反应比帖子热度更值得看。

三天三版本,全在填坑

版本发布

1. v2026.5.7(2026-05-07)- 当前最新稳定版
https://github.com/openclaw/openclaw/releases/tag/v2026.5.7

本周最重要的稳定版本,全部为修复内容:

  • Channels CLI 重构channels list 改为 channel-only;新增 channels catalog(展示捆绑及目录渠道);安装/配置/启用状态分离展示;模型鉴权/用量详情移至 channels infochannels authchannels usage
  • Active Memory 安全加固:全局内存开关操作现要求管理员权限范围。
  • Auto-reply 安全加固:内联 skill 工具调度经由 before-tool-call 授权钩子拦截,修补潜在绕过路径。
  • Gateway/sessionsupgradereload 时清除已缓存的 skills 快照,长期运行的 channel session 在 skills 变更后能正确重建可见列表。
  • Agents 上下文引擎:当源历史缩减或组装失败时,使缓存的组装上下文视图失效,防止重置后复用过期历史。
  • Tavily 凭证修复:从运行时配置快照解析专属凭证,避免 SecretRef 引用未解析即传入工具。
  • OpenAI:支持 chatgpt-instant 作为模型别名,不影响默认稳定模型。
  • Cron CLIlist/status 输出包含计算后的 state 字段。
  • Discord/message:解析带 provider 前缀的目标(如 discord:C...)为频道发送,修复跨频道 agent 路由。

2. v2026.5.6(2026-05-06)
https://github.com/openclaw/openclaw/releases/tag/v2026.5.6

  • • 回滚 v2026.5.5 中对 Doctor/OpenAI Codex 的”修复”——该修复会把有效的 ChatGPT/Codex OAuth 路由改写为 API-key 路由,影响 OAuth-only 用户;受影响用户需手动运行 openclaw config set 回切。
  • • Plugins/runtime fetch:从请求头字典中剥离第三方 symbol 元数据,防止 SDK 或代理 fetch 路径拒绝合法请求。
  • • Web fetch:限制超时请求的 guarded dispatcher 清理,超时后返回工具错误而非保持 Gateway 工具通道占用。

3. v2026.5.10-beta.1 ~ beta.5(2026-05-10/11)
https://github.com/openclaw/openclaw/releases/tag/v2026.5.10-beta.5

5 个 beta 版本密集迭代,包含大量新功能(预计稳定后为本月最大版本):

  • /context map:发送当前会话上下文贡献者的树状图图片,帮助开发者直观分析 token 占用分布。
  • session.agentToAgent.maxPingPongTurns 上限从默认 5 提升至可配置 20,支持更长的 agent-to-agent 对话链。
  • • 每 agent tools.message.crossContext/actions.allow 覆盖:沙盒/公开 agent 可限制消息发送范围,无需修改全局 bot 策略。
  • Slack 精细化控制:新增 unfurlLinks/unfurlMedia 配置(含 per-account 覆盖)、replyBroadcast 支持、Mention 元数据保留(区分直接 @ 与隐式唤醒),DM channel ID 规范化修复(防止同一 Slack DM 被分裂成两个 session)。
  • Discord 语音增强:新增实时语音诊断(speaker turns、barge-in 检测、音频截断分析);voice.allowedChannels 可限制机器人可加入的语音频道;默认使用纯 JS opusscript 解码器避免原生编译。
  • talk.realtime.instructions:允许 operator 追加实时语音风格指令,不覆盖内置 agent-consult 提示。
  • Plugin SDK 大规模清理:大量冗余公开子路径被标记 deprecated(至少已存在一个月且无生产引用的),减少 SDK 对外暴露面。
  • Gateway/skills 上传安装:新增 skills.install.allowUploadedArchives 开关,受信任客户端可上传 zip 包安装私有 skill(默认关闭)。
  • Providers/fal:支持 GPT Image 2 和 Nano Banana 2 的图片编辑请求路由(/edit),可配置参考图数量上限和宽高比提示。
  • localService provider:按需为本地模型服务器执行启动前探针,无须手动保持服务常驻。
  • Cron 修复:手动 cron 运行在任务注册表中保持活跃直至完成,防止 lost 标记过早出现。
  • MiniMax M2.7 修复:消息转换过滤后若为空负载,补充最小兼容 fallback,避免 chat content is empty 错误。
  • Codex app-server:超时后回收 CPU-spinning Codex 进程,防止 Discord agent 复用已崩溃进程。
  • pnpm 升级至 11:Workspace 包管理工具版本更新,覆盖 Docker/CI 等多个工作流。
稳定版 vs Beta 双轨对比

社区动态

4. 官方博文:”OpenClaw 度过了艰难的一周”
https://openclaw.ai/blog/openclaw-rough-week
HN: https://news.ycombinator.com/item?id=48056003(42pts,69 comments,2026-05-08)

官方 openclaw.ai 博客发布复盘文章,回顾近期集中爆发的用户体验问题。HN 只有 42 pts,评论不算多,但评论区要的不是认错,是具体的改进时间表。

5. HN 持续热议:Claude Code 因 commit 提及 OpenClaw 拒绝请求(持续跟踪)
https://news.ycombinator.com/item?id=47963204(1348pts,720 comments,约 11 天前)

1348 pts,这是今年 OpenClaw 话题在 HN 上最高的。Anthropic 后来专门发了允许 CLI 使用的声明(511 pts),但该解释的还是没解释清楚,评论区依然热。

6. Ask HN: 谁在使用 OpenClaw?
https://news.ycombinator.com/item?id=47783940(342pts,383 comments,约 26 天前)

383 条评论,真实用户密度很高。稳定性、插件生态、企业部署三块问题最集中。

活跃 Bug / 新增 Issue

7. [Bug] Discord native-slash-command-deploy 失败(#80437,新)
https://github.com/openclaw/openclaw/issues/80437
2026-05-10 开启,标记 bug + regression。Discord 原生斜杠命令部署失败,影响依赖 / 命令注册的 bot。暂无官方响应。

8. [Feature] Provider 连接 HTTP 连接池 + model-resolution 性能问题(#78851,新)
https://github.com/openclaw/openclaw/issues/78851
2026-05-07 开启。每次 agent 运行 model-resolution 耗时 7-8 秒,用户建议引入 HTTP 连接池。冷启动慢这个很难绕过去,影响所有 agent。

9. session.status 字段值误导 agent 重复创建 session(#64103,持续活跃)
https://github.com/openclaw/openclaw/issues/64103
标记 bug:behavior。session 的 "failed"/"timeout"/"done" 等状态字符串与 agent 的语义理解不一致,导致 agent 重复触发 session 创建,产生幽灵会话。本周有新评论活动,仍无修复。

10. 配置付费 Google Gemini key 导致现有心跳流量被计费(#64129,持续活跃)
https://github.com/openclaw/openclaw/issues/64129
配置 Gemini API key 后,原本不计费的后台心跳流量被隐式路由到付费 API,用户产生意外账单。本周有新讨论。几乎所有配了 Gemini key 的用户都会中招,影响面不小。

11. Subagent/ACP 完成时冷缓存场景浪费 token(#63760,持续活跃)
https://github.com/openclaw/openclaw/issues/63760
Announce run 在父模型冷缓存时重复计算 completion token,影响多 agent 编排成本。本周有新活动,无修复进展。

12. [Bug] Telegram 消息工具向 forum topics 发送失败(#80832,已关闭)
https://github.com/openclaw/openclaw/issues/80832
2026-05-12 开启并当日关闭。Telegram forum topic(超级群组子版块)的消息发送路径存在问题,announce fallback 可绕过,但原生 message 工具失败。已修复。

不是 Bug,是设计缺陷——本周三个活跃设计问题

跟踪 Carry-over 状态更新

13. [跟踪] Telegram polling broken + 30s model fallback(#73115)
https://github.com/openclaw/openclaw/issues/73115
本周无明确修复。5.6/5.7 changelog 中未提及此 issue。继续观察。

14. [跟踪] Control UI 用户消息重复 + Sender 元数据泄露(#72861)
https://github.com/openclaw/openclaw/issues/72861
5.10-beta.5 新增 Control UI HTML recovery panel(修复空白 Dashboard),但与消息重复和 Sender 泄露属不同路径,原 issue 仍无直接修复。Sender 安全泄露风险持续。

15. [跟踪] Zombie tasks 状态不自动转换(#73121)
https://github.com/openclaw/openclaw/issues/73121
5.10-beta.5 修复了 cron 手动运行时任务注册表 lost 标记过早出现的问题(#78233),与 zombie task 自动转换为 failed/timed_out 属部分重叠但未完全解决。继续观察。

PR 管理变更

16. PR 上限调整为每作者最多 20 个(#38283)
https://github.com/openclaw/openclaw/issues/38283
已置顶 issue,记录 PR 上限从之前的 10 个提升至 20 个。当前仓库 open PRs 约 3,629 个(约 226 页),活跃贡献者负担有所缓解。

安全关注

17. [安全] MCP 工具绕过 tools.subagents.tools.allow/deny 策略(#53504,持续)
https://github.com/openclaw/openclaw/issues/53504
本周无新进展。5.7 的 Auto-reply 授权钩子加固属于不同路径,此 issue 的根本问题(MCP 工具可绕过 agent 级别 allow/deny 策略)仍待官方响应。高优先安全边界风险。

18. [安全] @openguardrails/moltguard npm 插件供应链攻击(#55152,持续)
https://github.com/openclaw/openclaw/issues/55152
官方仍无正式声明。Plugin SDK 本周的大规模公开子路径 deprecation 在一定程度上收窄了插件攻击面,但此 issue 的具体 npm 包状态未被提及。

笔者评价

三天三版本,说明什么

5.5 出,5.6 回滚 5.5,5.7 全是 bug 修复——新功能一个没有,全压在 5.10 beta 里。三天三版,听起来活跃,其实是在填坑。主干跑太快,质量跟不上,只能这样打补丁。不是偶发事件,是现在的工作模式。

这三个 Issue,不是 Bug,是设计问题

本周活跃的三个 Issue,没有一个修复:

  • #64103session.status"failed"/"timeout"/"done" 语义跟 agent 理解的对不上,导致 agent 重复建 session。API 契约设计问题,不是边缘 case。
  • #64129:配了 Gemini key 之后,心跳流量被隐式路由到付费 API。多 provider 场景下计费边界没有统一抽象,路由逻辑有副作用。
  • #78851:每次冷启动 model-resolution 要 7-8 秒。HTTP 连接池复用是基础实践,生产级框架里缺这个,所有 agent 都受影响。

三个叠在一起,结果就是:账单猜不准,冷启动等得烦,session 状态不敢信。

MCP 漏洞挂了 7 周,没人回

#53504 超过 7 周无官方响应。MCP 工具能绕过 agent 级别的 allow/deny——你配的安全规则在实际上没有意义。Plugin SDK 的子路径清理是好事,暴露面小了,但没有点名 #55152 供应链事件,这次清理更像是在做工程整洁,不是安全响应。

生产环境的话:现在别把 tools.subagents.tools.allow/deny 当真正的安全边界,得在 agent 外面另搭一层。

本周可操作建议

       

         
           
           
         

场景 建议
版本选择 锁定 v2026.5.7;5.10 beta 等正式版发布后再评估升级
多 Provider 部署 显式验证每个 provider 的心跳流量走向,Gemini/Vertex 尤其注意
生产安全 不要依赖 MCP allow/deny 策略做访问控制(#53504 未修复),在外部补充策略层
Plugin 开发 检查 imports 是否依赖本周被 deprecated 的 SDK 子路径,及早迁移
QQ 渠道用户 Cron 投递目标规范化(PR #78916)仍在 review,生产场景建议临时切换 Telegram

       

     

7周没人回——MCP漏洞警告与可操作建议

写在最后

一言难尽…