乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > OpenClaw 2026.6.2-beta.1 发布:插件安全体系重构,6 大方向持续打磨

OpenClaw 2026.6.2-beta.1 发布:插件安全体系重构,6 大方向持续打磨

当前时间: 2026-06-07 08:42:50 更新时间: 2026-06-07 分类:软件教程 评论(0)

OpenClaw 2026.6.2-beta.1 发布:插件安全体系重构,6 大方向持续打磨

OpenClaw 2026.6.2 列车首个 beta 版(v2026.6.2-beta.1)已发布。整体方向是把”防御”做在前面,把”恢复”做在后面——插件安装逻辑全面重写,Channel 出站链路做了一轮安全加固,Gateway / Agent / Codex 等核心路径的健壮性也补了一波。

下面挑 6 个最值得关注的点,跟大家过一遍。

🛡 重点 1:插件 / Skill 安装体系重构

最核心的改动。

旧版本里,插件和 Skill 走的是危险代码扫描器(dangerous-code scanner)路径,每次安装都要扫一遍代码看有没有恶意模式。问题在于:扫描器很容易误报/漏报,而且规则维护成本高。

新版本直接换成操作员安装策略(operator install policy):

  • • 安装策略是显式声明的,不是通过代码模式推断
  • • doctor 检查、CLI、ClawHub、troubleshooting 各处的安装行为统一收敛
  • • 包 / 归档 / 源码 / 上传 / 市场安装 5 种安装路径都有完整生命周期覆盖

对普通用户的好处:安装/升级插件时更稳,不会再因为扫描器误报被拒,也不会因为漏报放进危险插件。Thanks @joshavant[1] 主导。

📡 重点 2:多通道(Telegram / Feishu / Discord / WhatsApp)安全加固

这次修的 channel bug 占了将近一半。

主要修了这些:

  • • Telegram:管理权限写回必须显式声明;DM exec 审批白名单与 ask:off 协同;流式预览去重;冗余状态隔离
  • • Feishu:setup runtime setters 补全
  • • Discord:工具进度脚手架清理;libopus 错误形状对齐
  • • WebChatsessions_send 交接不丢;channel-label 抑制保留
  • • Outbound:transcript 镜像失败时主链路仍可发(之前镜像失败会导致整条消息丢)

最实用的修复是 outbound 容错——以后 webhook 镜像服务挂了,机器人消息不会再受影响。

🖥 重点 3:Chat / Control UI / Workboard 体验改进

  • • 流式文本保留可见:之前偶尔出现”流式输出突然消失”的问题修了
  • • ACK 时序暴露:现在开发者能看到消息”客户端已收到”的确切时间点
  • • Workboard 键盘移动:纯键盘也能玩 Workboard 了(之前基本要鼠标)
  • • 对话框可访问性加固:屏幕阅读器支持更稳
  • • Android 伴生 App 壳层导航改善
  • • WebChat usage 视图懒加载:打开更快

Thanks @vincentkoc[2] 主导 UI 改进。

🔐 重点 4:安全 / 策略 / 配置恢复加固

  • • 拒绝损坏的 shell 快照
  • • 拒绝不支持的策略键(policy key)
  • • 拒绝不安全的 exec 审批预检环境
  • • 拒绝格式错误的脚本限制
  • • 拒绝可疑的网关启动配置
  • • 新增数据处理合规性检查(data-handling conformance)

这一组改动的核心思路:让 Gateway 启动时更”挑食”,宁可启动失败也不放过一个配置异常。

🧠 重点 5:Gateway / Agent / Codex / Provider 健壮性

  • • Session 写锁在 prompt-release fence 读取失败时也能正确释放
  • • Codex app-server 启动孤儿进程会被回收;启动客户端超时自动关闭
  • • Stream-to-parent ACP spawns 持续注册
  • • Bundled provider aliases 恢复
  • • 自定义 provider runtime fanout 避免爆栈
  • • Prompt-cache 边界保留
  • • Gemini stop sequences 正确转发
  • • Kimi 缓存标记清理(去掉与 Anthropic 不兼容的字段)
  • • Watcher 压力告警新增

这一波主要是让 OpenClaw 在长时间运行下不会”卡住”或”漏资源”,是稳定性的关键补丁。

🚢 重点 6:发布 / CI / 校验流程硬化

  • • 网络调用有上限了(避免某些 CI step 挂死)
  • • 数字限制格式错误直接报错
  • • 进程组管理更稳
  • • 清理泄漏修了
  • • Windows 安装包必须验证发布资产链接
  • • ARM / Linux 包生命周期的 pnpm 模块 hydrate 路径保留
  • • Docker 构建有心跳了(避免”卡住看不出”)
  • • Testbox / Docker / Release 流程的产物隔离

简单说:让发版和回归测试更快、更稳、更可定位。

🔖 升级建议

如果你是 插件作者 / Skill 维护者,建议尽快升级,因为:

  1. 1. 旧的 dangerous-code scanner 路径在 beta.1 里已经被取代
  2. 2. 你的 install/update CLI 行为可能会跟新策略对齐

如果你是 普通用户

  • • 升级前先看 changelog 里有没有影响你当前 Skill 的 breaking change
  • • beta 版不建议生产环境跑,但生产前升级可以先在自己的 dev 环境试一遍

📦 获取方式

# npm 安装npm install openclaw@2026.6.2-beta.1# 或升级npm update openclaw

🔗 链接

  • • 完整 Release Notes:https://github.com/openclaw/openclaw/releases/tag/v2026.6.2-beta.1
  • • npm 包:https://www.npmjs.com/package/openclaw/v/2026.6.2-beta.1
  • • 完整 Release 验证:https://github.com/openclaw/openclaw/actions/runs/26918960809

本文素材来源:OpenClaw 2026.6.2-beta.1 Release Notes[3]公众号首发:钱小虾 🦐

引用链接

[1] @joshavant: https://github.com/joshavant[2] @vincentkoc: https://github.com/vincentkoc[3] OpenClaw 2026.6.2-beta.1 Release Notes: https://github.com/openclaw/openclaw/releases/tag/v2026.6.2-beta.1

——关注我,获取OpenClaw最新更新解析、使用技巧,解锁AI助手更多隐藏功能✨