OpenClaw 刚发布了 v2026.5.27，这是一个正式版版本。这次更新不是单点小修，而是把 Stronger security and content boundaries 放到了更前面，同时又补了一批稳定性和边界能力。如果你已经在比较认真地使用 OpenClaw，这版很值得尽快看一遍。

1. Stronger security and content boundaries

这是本次更新最核心的一项变化，已经能明显看出 OpenClaw 在长期运行和能力沉淀上的推进。

2. More reliable Codex app-server runs

这项变化更偏可视化和可管理性，能提升你在真实使用中的可控感。

3. Faster Gateway and reply paths

这一部分更偏稳定性或安全边界补强，虽然不一定最显眼，但价值很高。

4. Better provider and model coverage

这部分属于补强型更新，和主变化一起看，更容易理解这版为什么值得升级。

5. Channel delivery is steadier

这部分属于补强型更新，和主变化一起看，更容易理解这版为什么值得升级。

这次更新主要集中在哪些方向

• • 安全与执行
• • Gateway / 性能
• • 通道与消息

适合谁尽快了解

适合正在重度使用 OpenClaw、关注长期记忆体系、控制台管理能力与真实环境稳定性的用户尽快了解。

你可以先重点留意的关键词

• • 安全与执行
• • Gateway / 性能

中文整理稿

repo: openclaw/openclaw
release_id: 330806884
tag: v2026.5.27
name: openclaw 2026.5.27
kind: 正式版本
published_at: 2026-05-28T11:41:42Z
url: https://github.com/openclaw/openclaw/releases/tag/v2026.5.27

openclaw 2026.5.27

• • 仓库：openclaw/openclaw
• • 标签：v2026.5.27
• • 类型：正式版本
• • 发布时间：2026-05-28T11:41:42Z
• • 原文链接：https://github.com/openclaw/openclaw/releases/tag/v2026.5.27

版本亮点

重点更新

• • 安全边界全面强化：群组提示词文本与系统提示词隔离，重复点号主机名格式标准化，带副作用的命令包装器和不安全的 Node 运行时环境变量覆盖被拦截，无需认证的 Tailscale 暴露被拒绝，节点/设备角色审批现在需要管理员权限。（#87144, #87305, #87292, #87308, #87146）感谢 @eleqtrizit 和 @pgondhi987。
• • Codex 应用服务运行更可靠：Codex 运行时模型优先解析，工作区记忆通过工具路由，共享应用服务客户端在启动和子辅助进程失败后仍然存活，原生 Hook 中继生成在重启后保持并在新回退时轮换，避免了错误的运行时实时切换。（#87383, #87403, #87375, #72574, #87428）感谢 @yetval。
• • Gateway 与回复路径提速：会话读取、插件元数据指纹、认证环境快照、自动启用插件配置、工具搜索目录和稳定元数据缓存减少了热路径上的重复发现，可见回复不再继承隐藏的清理超时。（#86439, #87044）感谢 @keshavbotagent。
• • 提供商与模型覆盖更完善：OpenAI 兼容的嵌入提供商成为核心功能，DeepInfra 目录浏览加载完整的凭据感知模型集，Pixverse 新增视频生成和 API 区域选择，VLLM thinking 参数已连接，Claude CLI OAuth 覆盖层为 PI 认证配置文件加载，裸直接 Anthropic 模型 ID 现在可用。（#85269, #84549, #87167）感谢 @dutifulbob、@ats3v 和 @joshavant。
• • 频道投递更加稳定：Telegram sendMessage 操作使用持久化出站投递，iMessage 抑制重复的原生执行审批提示和发送，Slack 在后期清理期间保留已投递的最终回复，Matrix 提及预览/最终消息更严格，QQBot 回退审批按钮遵循斜杠命令认证，Discord 公会请求者检查更严格，恢复的 Discord 工具警告产物不会出现在成功回复中，Google Chat 在私信中停止线程发送。（#87261, #87154）感谢 @mbelinky 和 @eleqtrizit。
• • 发布、包与 CI 验证路径更难卡住：npm/package 清单遵守 dist 排除规则，shrinkwrap 覆盖钉合并正确，Docker 运行时工作区模板已打包并经过冒烟测试，发布后检查更严格，beta 冒烟测试拒绝空运行，E2E 日志/探针等待有界限。

新增变更

• • Memory：新增核心 OpenAI 兼容嵌入提供商，支持本地和托管的 OpenAI 风格端点，包含配置、doctor 和文档支持。（#85269）感谢 @dutifulbob。
• • Plugin SDK：将内存特定嵌入提供商注册标记为已弃用的兼容层，并在插件兼容性诊断中暴露非打包用法。（#85072）感谢 @mbelinky。
• • Providers：新增 Pixverse 视频生成提供商，支持 API 区域选择、文档和外部插件打包。
• • DeepInfra：用户在 onboarding 期间浏览模型时加载完整模型目录，保留配置的 API key 目录，刷新 media/video 默认值，保持定价/默认模型元数据对齐。（#84549）感谢 @ats3v。
• • Plugin SDK：暴露插件审批操作元数据，停止从公共 SDK 导出 Vitest 测试助手。（#87120）感谢 @RomneyDa。
• • Channel SDK：将频道消息兼容性移入核心，移除旧的频道轮次运行时别名，并为插件保留运行时目录 markdown 元数据。
• • ClawHub：新增插件显示元数据，使目录/package 列表使用更清晰的名称。（#87354）感谢 @thewilloftheshadow。
• • Agents：将心跳运行时模板从文档资产中分离，并为旧版心跳模板内容添加兼容性修复。（#85416）感谢 @hxy91819。

问题修复

• • 安全/内容边界：将不受信任的群组提示词元数据路由到系统提示词之外，标准化重复尾部主机名点号，拦截带副作用的命令包装器，拒绝不安全的 Node 运行时环境变量覆盖，拒绝无需认证的 Tailscale 暴露，拦截不受信任的 Microsoft Teams 服务 URL，执行 /allowlist configWrites 源策略，为 QQBot 回退审批按钮设置网关，要求节点/设备角色审批需管理员权限。（#87144, #87305, #87292, #87308, #87146, #87154, #87334）感谢 @eleqtrizit 和 @pgondhi987。
• • Codex：在通用路由之前解析 Codex 运行时模型，通过工具路由工作区记忆，在启动和子辅助进程失败后保留共享应用服务客户端，跨重启和新回退保留原生 Hook 中继生成，保持原始推理/源回复守卫完整，报告隔离的动态工具，为排队的终端轮次保持尝试看门狗武装，通过 OpenAI-Codex 路由 Codex OAuth 压缩。（#87383, #87403, #87375, #72574, #87428）感谢 @yetval。
• • Agents/运行时：避免会话事件队列自等待，限制压缩唤醒和引导重试，为待处理错误诊断保留优雅，避免错误的 Codex 运行时实时切换，避免过时的重启延续重用，保留会话回退错误，抑制重复的 Claude CLI 技能提示，在活动用户轮次前保持运行时上下文，剥离过时的 Anthropic thinking，隔离不支持的工具模式，安全恢复已完成的写入超时，释放超时中止时保留的会话写入锁，并在固定前验证强制插件 harness 支持。（#86123, #55424, #86855, #74341, #87278）感谢 @luoyanglang、@cathrynlavery 和 @openperf。
• • 回复/会话投递：保持可见轮次准入无限制，在最新目标上保持可见回退投递，保留桥接 Hook 上下文，按频道语法分类直接回退目标，在桥接模式下报告审批解析，避免过时的源回复产物。（#87044）感谢 @keshavbotagent。
• • 频道：使 Telegram sendMessage 操作回复持久化并保留 SecretRef 提示词配置，抑制重复的 iMessage 原生执行审批提示和发送，在拒绝反应后保持 iMessage 审批轮询活跃，在后期清理期间保持 Slack 已投递的最终回复，保持 Matrix 提及预览/最终消息提及惰性和正常投递，忽略文件名嵌入的 Matrix ID，抑制成功回复中恢复的 Discord 工具警告产物，在私信中抑制 Google Chat 线程发送，并加强 Discord 公会请求者检查。（#87261, #87452）感谢 @mbelinky。
• • Memory：在非零退出后打捞 QMD 搜索 JSON，并在可能时保持工作区记忆通过 Codex 工具路径路由。（#87225, #87383, #87403）感谢 @osolmaz。
• • 提供商/模型：在 OpenAI 兼容聊天补全中转发缓存的 token 使用量，为 PI 认证配置文件加载 Claude CLI OAuth 覆盖层，发送裸直接 Anthropic 模型 ID，连接配置的 VLLM thinking 参数，遵守 OpenAI 兼容缓存保留，规范化 OpenAI Responses 重放工具 ID，在没有缓存目录时解析 OpenAI gpt-5.5，保留 retry-after 回退处理，限制 GitHub Copilot 认证请求，并一致地加载 DeepInfra 自定义/实时目录。（#82062, #87167, #84549）感谢 @caz0075、@joshavant 和 @ats3v。
• • Gateway/性能：借用只读会话元数据和活动会话工作存储，缓存当前/稳定插件元数据指纹，缓存自动启用插件配置，精简元数据身份缓存，信任当前元数据生命周期缓存，稳定隔离 cron 提示缓存亲和性，持久化模型认证配置文件后缀，排空探针客户端关闭，在认证轮换后过期浏览器令牌，并保持默认状态快速路径有界限。感谢 @ferminquant。
• • CLI/帮助/配置：拒绝宽松或格式错误的数字选项（gateway 超时、模型限制、目录限制、消息选项、webhook 和部分值），遵守子命令版本选项，正确路由生成/根/插件帮助目标，自然刷新 skills JSON 输出，并在根帮助中保持插件描述符加载安静。（#87398）感谢 @Patrick-Erichsen。
• • 插件状态/工具搜索：在插件行达到上限时清除当前命名空间，重用未更改的工具搜索目录，对齐发布目录重用包装器，并保持回退工具警告提及惰性。
• • 安装/打包/发布：匹配 npm globstar 排除规则，在清单中遵守 dist 包排除规则，省略未打包的测试助手，在 macOS 包需要之前跳过 Homebrew，打包 Docker 运行时工作区模板，在完整验证期间冒烟测试 Docker 运行时模板，合并嵌套 shrinkwrap 覆盖钉，保留分叉的 shrinkwrap 钉，固定老化的 lru-cache，加强发布后验证，接受主完整验证证明，并拒绝空 beta 冒烟测试运行。
• • E2E/QA/Crabbox：限制 Telegram、Open WebUI、ClawHub、Matrix、工具搜索、MCP、gateway 网络、打包运行时、厨房水槽、codex 媒体、配置重载和 agent-turn 断言等待；优先使用 Azure 处理 Windows 目标；重新初始化无效的 changed-gate git 目录；全同步稀疏容器运行；并使空显式测试请求失败。（#87186）

版本验证

• • npm 包：https://www.npmjs.com/package/openclaw/v/2026.5.27
• • registry tarball：https://registry.npmjs.org/openclaw/-/openclaw-2026.5.27.tgz
• • integrity：sha://2N93zhdAo88KAbHt6T7Kv510f4f7X/5jvBY/XP5/OqnuDqJPw==
• • 完整发布 CI 报告：https://github.com/openclaw/releases/blob/main/evidence/2026.5.27/release-evidence.md
• • macOS zip：https://github.com/openclaw/openclaw/releases/download/v2026.5.27/OpenClaw-2026.5.27.zip
• • macOS dmg：https://github.com/openclaw/openclaw/releases/download/v2026.5.27/OpenClaw-2026.5.27.dmg

原始发布链接

• • GitHub Releases：https://github.com/openclaw/openclaw/releases/tag/v2026.5.27