26年第23周｜OpenClaw三版连发：Agent运行时从「能用」到「能信」

通常周报写的是「发了哪些功能」。这次想换一个角度。

三版看下来，功能点加起来上百个，但真正重要的事情只有一件：OpenClaw 的 Agent 运行时，在本周进一步增加了可靠性。

怎么理解这个判断？看三个证据。

第一个证据：session lock 问题终于被认真修了。

5.26 修的是 lock 本身

5.27 加了跨启动存活

5.28 直接在 timeout abort 时确保 lock 被正确释放，同时 live OpenClaw 拥有的 lock 不被误删。

这三个版本合起来，解决的是一个长期困扰多 Agent 场景的顽疾：lock 泄漏导致的整个 Gateway 卡死。

第二个证据：app-server 故障终于被隔离了。

5.26 的 Codex 升级到 0.134.0，修了超时处理

5.27 共享 app-server 客户端在启动失败后不崩溃

5.28 直接做到了 Codex app-server/helper 故障不再清除共享 runtime 状态。这是本质区别。

之前故障是全局的，现在故障是局部的。多 Agent 场景里，这个区别决定了整个系统是玩具还是基础设施。

第三个证据：Codex Supervisor 出现了。

这是 5.28 正式版里最容易被忽略、但最值得注意的变化。GitHub Copilot agent runtime 被包装成官方插件，Codex Supervisor 插件包正式推出。Workboard 也加了 agent 协调工具，支持多 Agent 规划和任务追踪。

这三件事放在一起，说的其实是同一句话：OpenClaw 开始认真对待「多个 Agent 同时运行、互相协作」这件事了。

安全是这周改动最多的维度之一，但本质上没有新故事，都是之前欠下的技术债在补。

5.26 的重点是 SSRF 防护、system prompt 注入拦截、ClickClack  sender allowlist。

5.27 加了 group prompt 隔离出 system prompt、admin 权限要求、Tailscale 无认证暴露拦截。

5.28 则补了 node/device-role approval 的 admin 门槛、Teams service URL 校验，以及更严格的输入验证。

横向看，这三版的安全加固是沿着同一条线在走：把 AI Agent 运行时里最常见的攻击面逐个堵住。

有意思的是，这部分工作的驱动力很大程度上来自 5.28 正式版里出现了 Auth 修复，workspace dotenv 凭证被忽略、legacy api_key profile 迁移、OAuth/token lifetime 限制。这些改动说明随着 OpenClaw 被用在更复杂的工作流里，认证体系的欠账开始集中暴露。

对用户意味着什么：如果你的 OpenClaw 跑在多人协作环境里，这三版升级会让 system prompt 注入和未授权访问的难度显著提高。但代价是一些之前「能用但不规范」的配法会开始报错。

移动端是这周用户体验改善最直接的部分。

5.26 主要修的是 iOS realtime Talk 和 Android voice recovery。

5.27 集中修 iMessage 重复推送和 Signal/WhatsApp 的 reaction approval 流程。

5.28 则是 iOS 全面刷新：Pro UI、hosted push relay 默认开启、realtime Talk tab playback 接入 Gateway session、移动端重连后的 session picker 行为更合理。

重点说 iOS Pro UI。

这次刷新不只是改界面，而是把 iOS App 的架构往 Gateway session 上迁移了。之前的 iOS App 更像一个「远程控制台」，现在的架构是「Gateway 的移动端入口」，区别在于：之前的状态在手机上，现在的状态在 Gateway 上，手机只是显示层。

这样做的好处是：重连、切换网络、杀掉 App 再打开，之前的上下文不会丢。

Hosted push relay 默认化是这个方向的技术支撑。之前的 push 依赖本地进程，现在走 Gateway 的 relay 通道，即使 OpenClaw 进程在服务器端重启，移动端也能保持会话。

ClawHub 是 OpenClaw 的官方插件市场，但这周的更新让它开始有「平台」的样子了。

5.27 加了 plugin display metadata，package 列表开始有更干净的名字。

5.28 则加了两件关键的东西：plugin skill 验证和 trust surfaces。

所谓 skill 验证，是指插件现在可以有「技能清单」，而且这个清单可以被 OpenClaw 的 skill system 识别和信任评估。这是插件生态从「能装」到「能信」的关键一步。

配套的变化：GitHub Copilot 和 Tokenjuice 正式作为官方 `@openclaw/copilot` 和 `@openclaw/tokenjuice` 插件发布，ClawHub 有独立的 npm publish 路径。

加上 Workboard 的 agent 协调工具（多 Agent 任务追踪和移交），OpenClaw 的插件生态开始从「单点工具」向「协作平台」迁移，虽然还不是完整形态，但架子已经出来了。

Provider 这块三版都在加新东西，但方向各有不同。

5.26 主要是修修补补：xAI usage limit 显示、Ollama top-p 归一化、本地 approval 解析优化。

5.27 出现了 Pixverse 视频生成和 DeepInfra 全量 model catalog，前者是第一个正式支持的视频生成 provider，后者让 OpenAI-compatible embedding provider 正式成为核心功能。

5.28 的亮点是几个「第一次」：

MiniMax streaming music responses（第一个音乐生成 provider）

GitHub Copilot agent runtime（第一个第三方 Agent 运行时 provider）

Claude Opus 4.8 / Fal Krea / NVIDIA featured models（模型覆盖继续扩大）。

这几条合在一起说的是：OpenClaw 在「接入更多模型和运行时」这件事上，速度在加快。但对普通用户来说，更重要的可能是 OpenAI-compatible embedding provider 正式核心化，这意味着本地或私有部署的 embedding 模型，现在可以直接在 OpenClaw 的 memory 系统里用了，数据不必离开本地。

Beta 通道（v2026.5.30–5.31）有几条值得注意的信号。

Skill Workshop 的 Control UI 流程在 beta 里基本成型了：proposal 列表、today 视图、revision 对话框、可搜索文件预览、支持 rollback 的版本化 frontmatter。如果这个功能稳定下来，OpenClaw 的 skill 生态会有一个正式的「发布-审核-上线」流程，这对插件作者是重要信号。

iPad native layout 在 beta 4 加入了 iOS 支持，配合 hosted push relay，移动端覆盖从手机扩展到了平板。

SQLite 后端迁移是 beta 里技术含量最高的一条：iMessage monitor state 和 plugin install ledger 都在往 SQLite 迁。这是为重连场景设计的状态持久化方案，之前依赖文件系统扫描的方案在 Gateway 重启后会有重复扫描问题，SQLite 可以做到更快速的状态恢复。

Tailscale Serve service-name binding 在 beta 里也出现了。这是一个更安全的 Gateway 暴露方案，之前 Tailscale 暴露需要比较高的权限，新的 service-name binding 可以做更细粒度的控制。

简言之：OpenClaw 这周没有追新功能。三版连发背后是同一个方向，让 Agent 运行时真正值得信赖，进一步让移动端的使用更方便，让插件生态有平台的样子。这是基础设施该做的事。