夜雨聆风
OpenClaw 2026.6.6 发布:接了浏览器/MCP 的用户建议认真看一下
大家好,我是智瞳一哥。
OpenClaw 2026.6.6 正式版已经发布。
这次标题我不想写成“重磅更新”。
更准确一点说:
如果你已经把 OpenClaw 接到了浏览器、MCP、聊天群或者本地文件,这次建议认真看一下。
不是因为它又多了一个很炫的 Agent demo。
而是因为这次更新的重点,明显是在补一件更基础的事:
Agent 的边界。
OpenClaw 官方 release 里把这次安全相关改动放在了第一个 highlight:
transcripts、sandbox、MCP、Codex HTTP、浏览器输出、Discord、Teams、Telegram、iMessage、QQBot,都有相关调整。
这些词看起来很工程。
翻成人话就是:
OpenClaw 正在处理“Agent 能碰到真实工作流之后,怎么别碰错地方”的问题。
这次别只看版本号,先看自己接了什么
OpenClaw 这类工具,最有吸引力的地方是“能接很多东西”。
能接聊天。
能接浏览器。
能接 MCP。
能接本地工具。
能让 Agent 在不同入口里帮你干活。
但重度用户都知道,入口越多,风险越复杂。
如果你只是本地开个控制台,偶尔问几句话,这次更新不一定急。
但如果你已经在用下面这些能力,就建议认真看:
接了浏览器控制。
接了 MCP 工具。
接了 Telegram、Discord、Teams、iMessage、WhatsApp。
准备接 QQBot、飞书、企业微信、钉钉这类工作入口。
让 Agent 读本地文件。
让 Agent 跑命令。
让 Agent 进入长期运行的自动化任务。
这时候 OpenClaw 就不是一个“聊天工具”了。
它更像你电脑和工作流之间的一层 Agent 网关。
网关一旦接进真实工作,就不能只看“能不能跑”。
还要看:
谁能触发它?
它能读哪里?
它能不能操作浏览器?
它能不能调用外部工具?
出错以后有没有日志?
权限超时以后是默认放行,还是默认拒绝?
这就是 2026.6.6 值得写的地方。
MCP 是什么?先别被英文吓住
这篇会提到 MCP。
简单理解,MCP 就是一套让 Agent 接外部工具的接口。
你可以把它想成“工具插座”。
Agent 本来只能聊天。
接了 MCP 之后,它就可能去查资料、读文件、调接口、连业务系统。
这当然有用。
但也意味着它不再只是生成文字。
它开始有机会影响真实环境。
浏览器控制也是同理。
Agent 能打开网页、读取页面、点击按钮、填写表单。
如果这个浏览器里登录了你的邮箱、网盘、后台、支付账号、公司系统,那就不是小事。
所以接了浏览器和 MCP 的用户,比普通体验用户更该关注这次更新。
因为你给 Agent 的不是一个玩具沙盒。
你给的是通往真实工作的门。
这次正式版,重点可以拆成 4 件事
第一,安全边界更紧。
官方写到,2026.6.6 在 transcripts、sandbox binds、host environment inheritance、MCP stdio、Codex HTTP access、loopback tools 等地方收紧了边界。
不用背这些名词。
你只要知道:它在减少 Agent 把内部内容、工具输出、运行环境误带到不该去的地方。
第二,聊天入口更谨慎。
Telegram 相关更新提到,未授权 DM 文本不会进入 cache 和 prompt context。
也就是说,不是任何陌生人发来的内容,都应该进 Agent 的上下文。
对国内用户来说,这一点很容易迁移到 QQBot、飞书、企业微信、钉钉这些场景。
群聊里的 Agent,最怕的不是不会回复。
最怕的是谁都能把它叫醒。
第三,浏览器输出更收敛。
release 里提到 safer browser-output boundaries。
这句话很关键。
浏览器里的内容很容易混杂:登录态、账号信息、页面里的隐私字段、内部系统数据。
Agent 看网页可以。
但不能把不该输出的内容顺手带出来。
第四,执行审批更保守。
官方写到 exec approvals now fail closed on timeout。
翻成人话:
如果 Agent 要执行命令,等不到审批,就默认失败。
不是默认放行。
这是正确方向。
真正能长期用的 Agent,不应该在不确定时自己替你做决定。
接了浏览器的用户,先做这 3 个动作
如果你已经让 OpenClaw 接浏览器,建议先别急着跑复杂任务。
先做三件事。
第一,单独开一个浏览器 profile。
不要直接用你平时的主浏览器。
主浏览器里通常有邮箱、网盘、后台、付款账号、公司系统、各种登录态。
这些东西对 Agent 来说太危险。
更稳的做法是给 Agent 一个单独浏览器配置。
只登录测试账号。
只打开低风险页面。
第二,先跑只读任务。
比如:
打开网页。
总结页面。
提取公开信息。
对比两个文档页面。
不要一开始就让它提交表单、发帖、付款、删除内容、改后台配置。
第三,检查浏览器控制有没有暴露到远程。
OpenClaw 安全文档里明确把 browser control exposure 当成审计重点。
如果你用了远程控制、反向代理、内网穿透、VPS,就要更小心。
能本地跑,先本地跑。
能测试账号跑,先测试账号跑。
接了 MCP 的用户,先别接核心系统
MCP 很容易让人上头。
因为它让 Agent 突然能做很多事。
但最稳的试法,不是一下接满。
而是先接低风险、只读工具。
比如:
公开网页读取。
文档检索。
搜索。
天气。
知识库只读查询。
等这些跑稳定,再考虑接更重的工具。
暂时不建议一开始就接:
客户数据库。
公司内部后台。
支付系统。
生产环境接口。
能改状态的业务系统。
如果一个 MCP 工具能写入、能删除、能发请求、能改配置,就必须单独评估。
至少先问三个问题:
有没有日志?
能不能回滚?
能不能限制到指定目录、指定接口、指定账号?
答不上来,就先别给。
Agent 不是不会犯错。
它只是犯错的时候看起来更自信。
升级前,建议照这 6 项查一遍
这次 2026.6.6 已经是正式版。
但正式版不代表你可以闭眼升级。
尤其是重度用户,建议先做一轮检查。
第一,备份配置。
重点看 ~/.openclaw/openclaw.json,以及 credentials、secrets、agents 相关目录。
Windows 用户也一样,先找到自己的 OpenClaw 配置目录。
不要没备份就升级。
第二,跑安全审计。
官方安全文档给了命令。你可以先跑基础审计:
●●●
openclaw security audit
进一步可以跑:
●●●
openclaw security audit –deep
如果你理解它要修什么,再考虑:
●●●
openclaw security audit –fix
注意,--fix 不是万能保险。
它只适合处理一些明确的常见配置问题。
第三,查聊天入口。
群聊最好必须 @ 才触发。
私聊最好用白名单或配对。
测试群和正式群分开。
不要让任何人都能触发带工具权限的 Agent。
第四,查浏览器入口。
是不是用了独立 profile?
是不是只登录测试账号?
是不是先跑只读任务?
浏览器控制有没有远程暴露?
第五,查 MCP 工具。
是不是先接只读工具?
有没有接生产系统?
有没有写入、删除、付款、发请求这类能力?
有没有日志和回滚?
第六,查命令和文件权限。
Agent 是否能跑命令?
是否能读整个用户目录?
是否能写到非工作目录?
是否能碰密钥、下载目录、微信文件、公司资料盘?
这些都要收窄。
建议给 Agent 单独准备一个工作目录。
比如在 D 盘单独建一个工作目录:
●●●
D:\AI-Agent-Workspace
先让它在这个目录里读写。
确认稳定以后,再一点点放开。
谁该更新,谁可以先等等
适合认真更新的人:
已经把 OpenClaw 当长期 Agent 用的人。
已经接了浏览器或 MCP 的人。
已经接了聊天渠道的人。
正在把 OpenClaw 放进内容生产、研发、运营或小团队工作流的人。
愿意备份、审计、测试、回滚的人。
可以先等等的人:
只是轻度体验的用户。
只想找一个聊天 AI 的用户。
没时间看配置的人。
没有备份习惯的人。
还没搞清 Node、API Key、网络环境的人。
这类工具不是点开就用的网页产品。
它更适合愿意折腾、愿意配置、愿意把 AI 放进真实流程的人。
如果你是 Windows 用户,也要多看一步:
安装环境、Node 版本、API Key、网络条件、模型供应商,都先确认清楚。
别把“能跑起来”当成“可以交给它干活”。
这两件事差得很远。
这次更新,真正值得记住的是一句话
OpenClaw 2026.6.6 不只是一次版本更新。
它更像一个信号:
Agent 工具的竞争,已经不只是“谁能接更多东西”。
接浏览器。
接聊天群。
接 MCP。
接本地文件。
接命令。
这些都只是前半场。
后半场要看的,是谁能把这些能力关在合适的边界里。
对重度用户来说,这比多一个花哨功能更重要。
因为真正每天用的 Agent,最怕的不是不够聪明。
最怕的是它太能干,但不知道哪里不能碰。
所以这次我的建议很明确:
接了浏览器和 MCP 的用户,认真看一下。
先做安全体检。
再谈升级。
以上,既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标 ⭐~
谢谢你看我的文章,我们,下次再见。