OpenClaw 2026.5.26 重大升级:快了稳了,安全也补了

这个版本改动量不小，我把 changelog 仔细看了一遍，重点挑三件事说。

Gateway 启动慢，这次算是认真治了

以前每次 OpenClaw 启动，都要重新扫一遍插件、频道、session、定时任务……这些东西其实大部分没变，但每次都跑一圈，浪费时间。5.26 里把这些都做了缓存，包括插件元数据快照、包路径的 realpath、模型 cost 索引、频道解析结果，全都复用到进程结束。

用户侧最直接的感受是：回复延迟降低了。官方特别提了 Telegram 的 typing/progress 上下文保留、斜杠命令启动元数据懒加载、热路径上的模型 hydration 也去掉了。我自己在 Telegram 上用确实感觉顺了一些，不过具体快多少得看各自场景。

安全这块补了不少洞

这次安全修复比较密集，我觉得几个值得单独说一下。

Browser snapshot 的 tab URL 现在要过 SSRF 策略校验，防止通过 CDP 读内网地址。插件和频道标签里的文本不能再伪造嵌套 prompt 标记，外部文件内容也统一用外部内容包裹。

另外，ClickClack 的 allowFrom 发件人白名单现在在 agent 分发前就跑了，不是转进去之后才判断。设备 token 轮换时，失效设备发来的 RPC 直接拒绝。还有就是 replay 的工具调用文本会从回复里清掉，不会泄到前端。

这些修复大部分是外部贡献者报告的，看 PR 链接里有 zsxsoft、ttzero25、mmaps 这几个 ID——说实在的，能把这种细节揪出来还提 PR，真的有两把刷子。

多端稳定性，这次 Telegram 改动量最大

Telegram 这次改了十来处，包括论坛话题名缓存、DM 重叠回复、outbound reply context、bot-command 精准 mention（`/command@Bot` 格式之前会被 requireMention 组漏掉），还有 `ENETDOWN` 当成临时网络失败处理，不再直接挂。

iMessage 那边修了附件根目录读取、重复账号去重、图片发送命令。WhatsApp 恢复了 ack identity 和群组丢失警告。Discord 修了语音播放、大模型选择器在模型数超 25 个时的展示方式（按首字母分桶，不再翻页）。

总体感觉这个版本是一次大面积补课，没有特别炸眼的新功能，但修的问题范围很广，装好升一下应该比较值。

完整更新列表

• NEW转录功能成为核心：会议总结、CLI 回放、Codex 镜像等统一走可靠的转录路径
• NEW命名认证配置文件：支持 Hermes、OpenCode、Codex 多账号 auth profile 管理
• NEW诊断可观测性：网关密钥准备追踪、工具/模型流式进度、OpenTelemetry LLM Span、告警信号（工具阻塞、会话失效、Webhook 入站等）
• NEW频道 Signal/iMessage/WhatsApp 新增 reaction 审批流，无需发 /approve 文字
• NEWOpenAI 采样参数透传：sampling_params 通过 Gateway 转发，context-budget 状态可查
• NEWTUI：繁忙时排队提示不丢弃、显示 fast-mode 状态、systemd Gateway 健康信息
• NEWPlugin SDK：reaction 审批 helper、诊断事件根导出兼容函数名和别名
• NEWAndroid/iOS：Android 配对新 Gateway、iOS 实时 Talk 模式、Android 离线语音恢复
• NEW性能缓存：插件元数据、包 realpath、模型 cost 索引、频道解析、session/auth 热路径全面复用
• NEW语音 SDK：realtime turn-context、输出活动追踪、consult 问题匹配、唤醒名匹配统一通过 SDK 共享
• NEW定时任务：cron.maxConcurrentRuns 默认改为 8，无需手动配置即可并行跑
• NEWQA-Lab：新增 `qa coverage –match ` 聚焦场景查找
• NEWDiscord 模型选择器：超 25 项时按首字母分桶（A–G/H–N/O–Z）
• NEW活动 Tab：Control UI 新增临时 Activity Tab，展示实时工具活动摘要
• NEW构建：`pnpm build` 自动包含 `ui:build`，不再需要两步命令
• NEWiOS：Talk 模式支持直连 realtime voice session、紧凑工具栏、语音波形反馈
• NEW图片处理：Sharp 替换为 Rastermill，OpenClaw 不再依赖 Sharp/Jimp
• NEWCodex：升级至 0.134.0，budget 触发时 native compaction 保持禁用
• FIX安全/内存：memory_store 工具拒绝 prompt 注入文本
• FIX安全/Gateway：默认启用远程非浏览器认证失败的速率限制
• FIX安全/内容边界：Browser snapshot SSRF 校验、system-event 文本净化、外部文件内容包裹、ClickClack allowFrom 前置检查、失效设备 token 拒绝、工具调用文本从回复清除
• FIXTelegram：保留 typing/progress 上下文、论坛话题缓存、DM 重叠回复、bot-command 精准 mention、ENETDOWN 当临时网络失败处理
• FIXiMessage：附件根目录读取、重复账号去重、图片/群组媒体命令、catchup 游标推进
• FIXWhatsApp/QQ/Twitch/IRC/Slack：各平台行为修复
• FIXDiscord/语音：播放与唤醒回复、大选择器分桶、媒体字幕合并、代理路由、唤醒名匹配收紧
• FIXCodex：保留 WebSearch 元数据、超大原生线程复用、API key 桥接、沙盒 bootstrap 路径、上下文窗口溢出压缩
• FIXGateway/性能：启动警告元数据复用、会话/启动/运行时 CPU 抖动裁减、重复 turn session touch 跳过
• FIX回复延迟：Telegram typing 上下文保留、斜杠命令元数据懒加载、热路径模型 hydration 去除
• FIXMemory：向量索引在 embedding 不可用时不静默降级、doctor OOM 修复、CJK 感知去重
• FIXDocker：恢复运行时镜像可写 ~/.config
• FIXWindows daemon：Scheduled Task 支持电池供电运行，避免域用户提示
• FIXCLI/Windows：增加 Windows 栈大小 respawn、CLI 日志默认本地时区
• FIX安装/更新：Alpine 安装支持、trusted runtime fallback、npm min-release-age 绕过、Docker 超时加固
• FIX众多社区贡献 bug 修复（Telegram、Discord、iMessage、Codex、Memory 等各模块）

升级方式还是 `npm install -g openclaw` 或走 macOS 自动更新。

⭐点赞、转发、关注和推荐一键三连⭐