OpenClaw新版 2026.6.5 升级了啥?Parallel / installPolicy / MCP 加固

OpenClaw 2026.6.5 正式版：Less chaos. More claws.

OpenClaw 官方 X 账号 6 月 9 日贴出了 2026.6.5 的发布公告，一句 slogan 概括得很准—-Less chaos. More claws.

这一版不是 feature parade，没有花哨新功能，官方把几乎全部精力放在了四件事上：搜索、安全、通讯、AI 韧性。而且每一件都戳到了高频痛点。

一、Parallel 搜索升格为 bundled 一级 provider

以前 Parallel 只是 OpenClaw 生态里的一个第三方插件，要装要配要走非标路径。2026.6.5 把它正式纳入 bundled，跟 Brave、Perplexity 并列，开箱即用，配 PARALLEL_API_KEY 就行，支持 onboarding picker、缓存安全的 session IDs、端点守卫。

这件事的战略意义比表面看起来大。Parallel 不是消费级搜索引擎改造过来的，它是 agent-native search—-设计源头就是给 AI agent 用的，输出结果自带事实锚定和可引用元数据。OpenClaw 把它放进 bundled，等于告诉整个生态：agent 用什么搜这件事，正式从”凑合用消费级搜索”切到”为 agent 而生”。后续其他 agent-native search 厂商肯定会跟进抢 bundled 位。

对国内用户的实际影响：如果你之前 web_search 总觉得搜出来的事实可追溯性差，可以试 Parallel。配 key 之后所有 web_search 调用走 Parallel，事实锚定 + citation 会显著改善 agent 输出质量。

二、security.installPolicy 正式毕业—-给装 skill 加一道硬关卡

这是这次升级我个人最看重的。OpenClaw 的 skill/plugin 生态一直是攻击面，Cisco 和 Cybersecurity Dive 都发过警告：恶意 skill 能偷凭据、传数据、下 malware。2026.6.5 把这套旧的”危险代码扫描器”路径正式替换成 security.installPolicy—-operator 可以在 OpenClaw 配置里指定一个 trusted local command，OpenClaw 把 skill 源码 staged 之后、调安装之前先跑这个命令，命令吐 JSON 决定 allow 或 block。

关键设计有三：

– Fail closed：策略配置错、慢、不可读、被权限拦了 → 默认阻止安装，绝不放行。这是最重要的一条，意味着你配了 installPolicy 就必须把它配对，不会因为配置失误反而开了口子。
– 覆盖所有安装源：ClawHub、上传 skill、Git 仓库、本地 skill、插件更新，统统走同一道关。
– 关闭 bypass 漏洞：之前有个 –dangerously-force-unsafe-install 旗标能绕过扫描，新版明确不再绕过 installPolicy。

配合升级的还有 ClawScan pipeline：NVIDIA SkillSpector 做 AI 辅助语义分析（抓隐藏指令、危险代码路径），VirusTotal 做恶意软件查杀，两者合成产出 Skill Card，评级 Clean / Suspicious / Malicious。SkillSpector 这一步是 AI 看 AI，是 agent 安全的范式变化。

三、Matrix 语音 + 线程感知双修

Matrix 这边做了三件事：

– voice-note 在 mention gating 前先做 preflight，避免语音消息被门控逻辑错误丢弃。
– 线程读 / 回复通过 Matrix relations pagination 实现，thread 内的引用关系不会因为消息滚动而断裂。
– 给 voice 和 thread 流都补了 QA 覆盖，未来回归测试不会再悄悄漏。

用 Matrix 跑 OpenClaw 的用户—-尤其是隐私优先的企业内网部署和开源社区—-这下语音消息和长 thread 讨论终于能稳定跑了。

四、Anthropic / MCP 韧性加固—-把静默失败堵掉

这是这一版最容易被低估、但实际价值最大的一块，三个 fix 全是高频踩坑场景：

– MCP tool 结果 coerce：以前 MCP 工具如果返回 resource_link、audio、malformed image 这种非标准块，OpenClaw 直接透传给 Anthropic 转换器，结果 Anthropic 报 400，而且失败的 tool call 会卡在 session 历史里污染后续所有 turn。2026.6.5 在 materialize boundary 做 coerce：合法 image 保留，富内容转文本，Anthropic 永远看不到畸形块。GitHub、数据库、自定义 MCP server 重的用户，这是直接止血。
– Anthropic extended-thinking 缓存恢复：之前 prompt-cache 过期或 Gateway 重启之后，长任务的 thinking signature 校验偶尔会错过重试窗口，stream start 跑到 message_start 前面去了，导致扩展思维静默断。2026.6.5 把 stream start 强制等到 message_start 之后才放行，恢复重试逻辑能正确触发。跑长任务的人不会再被这条隐性坑折腾。
– QQBot reasoning 剥离：扩展思维模型的 内部草稿之前会直接漏到 QQBot 频道回复里，用户看到一坨内部独白才看到正文。2026.6.5 在原生投递前剥掉 thinking scaffolding，只留最终答案。

配套加固：把运维层也收紧了一圈

官方 release notes 里还有几条没上 X 帖、但对运维同样重要：

– macOS node 不再幽灵重连：之前 macOS 节点会从健康的 Gateway session 静默自连走，companion app 端会出现莫名其妙的 session churn。修了。
– auth 落 SQLite：auth profile 从 volatile JSON 迁到 SQLite，OAuth / 多账号配置在 Gateway 重启和升级之间不再丢失。
– cron legacy JSON 自动 migrate：升级时 doctor preflight 会自动迁移老 cron 存储，不用手动迁。
– service env 占位符不再遮蔽 secrets：以前 systemd unit 里的占位符会把 state-dir secrets 盖掉，现在修了。
– WhatsApp 启动等待有界化 + disabled 账号正确 teardown：WhatsApp 渠道不会被卡死启动，配置 reload 时禁用账号会真正清理掉。
– Google Vertex ADC 恢复：企业用 Vertex 的用户被 6/2 那波升级坑过，现在静态 catalog rows + runtime model resolution 回来。
– ClawHub GitHub-backed skill 走 resolved install API：GitHub 来源的 skill 安装走解析后的安装接口，pin 住 GitHub commit，install-policy 检查保留（呼应 installPolicy 升级），装完还会上报 telemetry。
– Skills refresh watcher 限制修：以前每个 skill 文件一个 fs watcher，skill 多的时候直接耗尽 watcher 上限，现在收敛了。

评价：Less chaos 是真，不是 slogan

这一版的整体气质跟以往不太一样—-没有新模型、没有新工具、没有新连接器。官方把所有力气放在补漏和加固。这种”不堆 feature 只补漏”的 release 在 agent 工具生态里其实是奢侈品。

战略层面最值钱的就两件事：Parallel bundling 把”agent 用什么搜”的格局换了，installPolicy 毕业正面回应了”OpenClaw skills 是攻击面”的警告。前者意味着 web_search 这个最常用外部能力的认知质量会上一个台阶，后者意味着 OpenClaw 把”装 skill”这件事从”信开发者”切到”operator 可控”—-配合 SkillSpector + VirusTotal + ClawScan pipeline，给了用户真实可用的安全审查杠杆。

韧性那一块（MCP coerce / Anthropic 缓存恢复 / QQBot thinking 剥离）看着不显眼，但对长跑 agent 的用户来说，每一条都是”踩过但很难排查”的静默失败止血。Less chaos 是真的。

4 个吐槽：这一版没做完的事

挑刺时间，有四件事 2026.6.5 没明示或没做完，建议 OpenClaw 后续补：

– installPolicy 默认开关没说清：文档只说”如果 enabled 但 command 缺失/慢 → fail closed”，那默认到底是不是 enabled？没明示。社区用户升级之后装 skill 会不会被默认 fail closed 卡死？需要官方给一个明确的 default state 表。
– ClawScan Skill Card 对普通用户不可观测：SkillSpector + VirusTotal 合成出来的评级，API 暴露给用户多少？普通用户能不能在装之前调 API 看评级？还是只能在 dashboard 看？建议加 CLI 命令 openclaw skill inspect <name> 直接打 Skill Card 出来。
– Parallel bundling 后的回退路径没说：bundled 是默认启用还是 opt-in？如果默认启用，PARALLEL_API_KEY 没配的用户的 web_search 回落到谁—-Brave 还是报错？需要明示回退策略。
– WeChat 渠道是否同步 strip thinking scaffolding：QQBot 这次修了，但 OpenClaw 还接 WeChat 微信渠道。同样的 extended-thinking 模型在微信端是不是也会泄漏 草稿？建议 OpenClaw 把 WeChat 渠道也纳入同样的 strip 处理。

该不该升？分人群给建议

– 正在用 MCP-heavy workflow 的（GitHub 集成、数据库工具、自定义 MCP server）：必升，Anthropic 400 errors 直接止血。
– 用 Anthropic extended-thinking 跑长任务：必升，cache expiry 或 Gateway 重启后不再 silently 断。
– 用 QQBot 跑 agent：必升，thinking 草稿不再漏到频道。
– macOS + companion app：必升，幽灵重连修复。
– Brave/Perplexity 搜得不够满意的：建议试用 Parallel，体验完全不同—-agent-native search 的 citation 锚定会让你明显感觉 agent 输出更可靠。
– 重度依赖 ClawHub 装第三方 skill：建议先配 installPolicy 再升，把 trusted command 写好测试过，避免 fail closed 把正常 skill 装也卡死。
– 生产环境重度用户：建议等 2026.6.6 或 2026.6.7 patch（每个大版本后的第一个 patch 最稳）。个人玩票 / 非生产：直接升，6/7 beta.2 已经吃过一轮社区反馈，正式版相对稳。

最后说两句

OpenClaw 这一年的版本节奏肉眼可见地成熟—-从堆 feature 到补漏，从”我们做了什么”到”我们解决了什么”。2026.6.5 是 agent 工具该有的样子：Less chaos. More claws.

关注 OpenClaw 的，可以留意一下 新版本是不是真的按月度节奏出—-release notes 提了切换到 YYYY.M.PATCH 月度补丁号，如果是真的，未来更新会更可预期。

欢迎点关注订阅，后台回复有惊喜！