OpenClaw龙虾5月更新了啥:「拆家 + 补漏 + 上手机」三条线讲完

5 月，大部分人都在忙着总结、忙着汇报。但对 OpenClaw（我们俗称的“龙虾”，GitHub：openclaw/openclaw）的开发团队来说，这一个月简直是在狂野“拆家”加“补漏”。

这个号称 7×24 小时自主运行的 AI Agent（智能体）运行时，在 5 月的更新节奏可以用“疯狂”来形容。稳定版隔三差五更新，甚至一天内能连着出两三个紧急修复补丁。

如果你没时间去翻几十页晦涩的英文 Release Notes，没关系，这篇文章帮你用大白话捋清。5 月的更新，如果用两个字概括，就是“成熟”。架构大拆分、安全大补洞、平台大拓展。它正在从一个让人新鲜一阵的“对话框脚本”，变成一个真正能在生产环境稳定运行的基建工具。

如果你手头的龙虾还挂在公网，或者正准备把它接入工作流，建议花 5 分钟看完这篇。 

一、 渠道外部化：从“全家桶”变成“插线板”

5 月最重磅的动作，来自 OpenClaw 的底层架构大改。用社区的话说，这叫“拆家”。

以前，OpenClaw 的 Gateway（网关）是个超级全家桶。不管你用不用，微信、飞书、Telegram、WhatsApp、iMessage、Slack、Discord、Microsoft Teams 的连接代码全塞在里面。这带来的直接后果就是包体臃肿，打包下来随随便便上百兆（MB），因为里面包含了各种系统的推送依赖和无用的 SDK。

5 月期间（主要从 v2026.5.x 开始），团队下决心把所有的内置渠道代码全部剥离出去，拆成了独立的 @openclaw/* npm 插件包。比如，飞书渠道变成了 @openclaw/channel-feishu，Telegram 变成了 @openclaw/channel-telegram。

1、 包体大瘦身，启动快如闪电

把不需要的渠道代码砍掉后，核心安装包体积直接缩水了一大半，直接压到了 30MB 左右，对云端部署和轻量级服务器简直是救星。配合 5 月底上线的延迟加载（Lazy Load）技术，现在 Gateway 启动时不再傻乎乎地扫描所有 manifest 文件，速度明显快了不少。

2、 破坏性大更新，老配置要重写

这是一个典型的 Breaking Change（破坏性变更）。当你把版本升上来之后，你会发现以前配好的多渠道配置突然失效了。把全家桶拆成插线板，想要什么插件，自己去 ClawHub 现装。 升级前，你必须使用类似 clawhub install channel-feishu 的命令去下载对应渠道的独立插件包，并按照新的插件语法重新配置你的 config.yaml。这就像把精装修全家桶，拆成了毛坯房加插线板，想要什么插什么。

二、 安全大补漏：“Claw Chain”漏洞与防身指南

5 月是 OpenClaw 社区的安全受难日，也是安全加固的黄金月。

事情的起因是 5 月初，安全研究员公开披露了一组被称为“Claw Chain”的四连环高危漏洞（包含 CVE-2026-44112 等 4 个 CVE 编号，CVSS 评分最高达到了 9.6 分）。

1、 什么是“Claw Chain”？

所谓的链式漏洞，就像是小偷进门：第一步利用浏览器漏洞在沙箱内拿到系统信息，第二步利用环境变量覆写越过权限校验，第三步利用本地命令执行漏洞写入自启动脚本。单看每个漏洞都不算致命，但连在一起，就是一条直接通往你电脑核心权限的高速路。

因为 OpenClaw 拥有执行宿主命令、调用浏览器、读写本地文件的权限，一旦这些权限的隔离没做好，黑客就能通过间接提示词注入（比如让你读网页，网页里藏着恶意指令），绕过工作区限制，在你的服务器上执行任意恶意代码，甚至直接控制你的宿主机。

2、 5 月补漏洞全纪录

面对这个致命威胁，开发团队在整个 5 月疯狂打补丁，可以说是把安全闸门焊死在了代码里：

• file-transfer 插件上锁：v2026.5.3 推出了专用的二进制文件传输插件，实行默认拒绝策略。文件传输上限锁死在 16MB，并且严禁符号链接穿越（禁止跨工作区访问软链接，防止黑客通过软链接读取工作区以外的敏感系统文件）。
• SSRF 深度拦截：针对浏览器自动化功能，严格校验 Snapshot URL。比如黑客发一条指令：“帮我把这个网页截个图”，但网页 URL 写的是内网地址。以前龙虾会去访问并截图，结果相当于替黑客在内网点了一下。5 月的更新加上了严格的 SSRF 校验规则，任何指向内网或非白名单的截图、访问请求，会被直接掐断。
• 拒绝 Tailscale 裸暴露：在 v2026.5.27 的安全更新中，官方拒绝了无认证的 Tailscale 网络暴露申请，hostname 必须规范化。
• 防止提示词污染：在群聊里跑 Agent 时，最怕群友插嘴诱导。5.27 的防污染机制把群聊消息做了一层真空隔离，确保它们只作为对话上下文，绝不可能渗透进决定运行权限的 System Prompt 里。
• 审批权收紧：所有节点与设备的角色审批，默认必须由 Admin 账户显式授权，不再允许模糊匹配。

一旦你的 Agent 能够不受限制地改配置、点网页、跑命令，它被劫持的代价将是你无法承受的。 龙虾功能越强，安全绳就得拉得越紧。

三、 上手机与提稳定性：iOS 降临，子 Agent 不再拖累整体

除了拆家和补漏洞，5 月的 OpenClaw 在用户体验和运行稳定性上也挤出了一大管牙膏。

1、 iOS Pro UI 重构上线

对于喜欢用手机掌控 Agent 的人来说，这是个天大的好消息。v2026.5.28 带来了全新的 iOS Pro 客户端。它重构了整个移动端界面，分成了 4 个独立的 Tab 视窗：“对话（Chat）”、“任务流（TaskFlow）”、“画布（Canvas）”和“设置（Settings）”。

以往你可能需要在电脑前死守着终端跑任务，现在直接在地铁上点开手机，就能看到所有的任务执行到第几步、哪个子 Agent 被卡住了，还能在 Canvas 里远程点选、缩放模型画好的 UI 原型，不用再对着黑乎乎的终端发呆了。

2、 Codex 与 Agent 运行时隔离

在 5.28 之前，龙虾的子 Agent（比如做代码搜索、跑测试的子智能体）和主进程是在同一个运行时状态机里共享 cwd（当前工作目录）和内存的。如果一个子 Agent 因为遇到循环引用崩溃，或者测试跑挂了，整个会话的共享内存就会被直接摧毁，导致你的整个长对话直接报废。

5 月底的更新彻底解决了这个问题。他们重构了运行时恢复机制，实现了工作区与当前目录（cwd/workspace）的彻底分离。手机屏幕上能点 Canvas，子 Agent 崩了主进程还能满血复活。 哪怕某个负责特定子任务的 Agent 报错倒下，主流程也能完好地把它隔离并重新拉起，断点续传，极大地提升了跑长任务的成功率。

3、 Gateway 启动加速

以往启动 Gateway 都要等上十秒，因为它要在 boot 时把所有插件包和 manifest 扫一遍。5.31 的更新加了冷注册表和启动缓存，缓存命中时秒开，平时启动缩短到只要 1-2 秒，极大地提升了开发体验。

四、 如果你只关心“该不该升”：三个里程碑版本推荐

不需要去追每一天的 nightly 构筑版。如果你想升级，5 月有三个标志性的里程碑版本可以参考：

五、 我的态度：不能再野蛮粗放地玩玩具了

看完 5 月的更新，可能有人会抱怨：怎么越升级限制越多？多渠道配置折腾人，安全选项又卡得死死的。

但这恰恰是 OpenClaw 走向成熟的标志。

当一个 AI 智能体拥有了你的文件系统读写权、本地命令执行权、甚至是你的社交软件代发言权时，它就不再是一个逗闷子的“玩具”了。它是一个随时可能被注入、被利用的强力工具。

不能再像以前那样野蛮粗放地玩玩具了，我们得按工业标准来。

勤备份、配好 Allowlist 允许列表、关掉所有不需要的危险开关。做好这三件事，你才能真正享受龙虾给你带来的 7×24 小时无忧自动化。

参考链接

• OpenClaw 官方 Github 仓库：https://github.com/openclaw/openclaw
• OpenClaw 5 月 Releases 记录：https://github.com/openclaw/openclaw/releases
• Claw Chain 漏洞公开分析：https://docs.openclaw.ai/security/blog/claw-chain-disclosure