OpenClaw 2026.6.6 正式版来了|这一轮把安全、渠道、性能三件大事一次说透

写在前面：6 月这一波到底发到哪了

OpenClaw 6 月这一轮版本节奏很有意思：先在 2026.6.5 列车上连滚 6 个 Beta，再到 2026.6.6-beta.1 开了下一个 minor 的头，最后到 2026.6.6 正式版才把这段路走完。本文详细解读的就是 6.6 正式版。

6.6 正式版相对 6.6-beta.1，主线亮点没变（安全、渠道、性能三件大事），增量主要在：

• • 完整的 release verification 证据链（npm 预发、正式发布、plugin 发布四条独立流水线）
• • 几个增量 fix：gateway RPC timeout 输入校验、Ollama thinking default 行为、/models 派生注册表重扫风暴、native hook relay 生命周期、Android 持久化节点不抢 dataSync 前台服务、UI 开聊天会话要显式用户意图
• • Performance 多了一条：”停止 /models 派生注册表的 rescan storm”
• • Updates/builds 多了一条：”beta GitHub release 页面在 OpenClaw npm、依赖证据、postpublish 校验、plugin 发布全部通过前保持 draft”

下面就 5 段把 6.6 正式版讲完。

一、主线亮点

下面这几条是 6.6 这一波的核心交付，每个都跨了多个 PR 一起完成：

1. 安全边界全面收紧transcripts / sandbox binds / host environment inheritance / MCP stdio / Codex HTTP access / native search policy / elevated sender checks / deleted-agent ACP bypasses / loopback tools / Discord moderation / Teams group actions 全部走更严的鉴权。exec approvals 改成超时 fail-closed（之前是默认放过，现在是默认拒绝）。

2. Telegram 投递更稳账号范围 topics 路由到正确 agent、streamed text 跨过 tool call 不断流、/compact 在 generic ingress 上能工作、callback 处理走具体 API、draft chunking 共享、durable dispatch dedupe 移到 SDK 层、未授权 DM 文本不会进缓存和 prompt context（信息泄漏面收窄）。

3. iMessage 恢复和投递always-on inbound restart、durable echo markers、block streaming、idle 状态下的 approval discovery、hardened outbound transport、可执行的 inbound 启动期诊断。iMessage 通道的”半夜掉线、消息丢一半”问题重点补。

4. 浏览器 / MCP 连接性existing-session CDP 支持、discovered WebSocket 校验、default profile cdpUrl 处理、safer browser-output 边界、Streamable HTTP loopback transport、正确的 OAuth/SSE 授权处理、更广的 schema 兼容性。

5. Control UI 启动和首回复延迟降低缓存的 model metadata、去掉启动期 catalog 等待、slash command 懒加载、首事件埋点 + 慢回复诊断。第一条回复明显快了。

6. Provider 支持扩展OpenRouter OAuth onboarding、Claude Fable 5 adaptive thinking；Codex sessions 保持正确的 compaction ownership；local models 跳过 guardian review（少一道卡死是好事）；dynamic tool progress 正常化；Gemma 4 reasoning replay 保留。

二、安全收紧：6.6 的重头戏

这一波安全改动密度极高，一次性补齐了十几处：

额外补的几个 fix（6.6 正式版相比 beta 增量）：

• • Gateway RPC timeout 输入校验：拒绝畸形 timeout 输入（#54646）
• • config.patch 数组替换：保持 indexed replacePaths 不会被扩到整个数组（#91966）
• • SQLite auth migration 清理前 verify
• • QMD startup maintenance 上线

这些改动大多是默认更安全的姿势，但如果你之前依赖”宽松默认”做过一些 workaround（自家脚本、临时调试），升级后请重新跑一遍相关流程，行为可能变了。

三、渠道改进：Telegram / iMessage / WhatsApp / 飞书 / Discord / Mattermost / LINE

这一轮渠道更新密度很高，挑重点：

Telegram

• • 账号范围 topics 正确路由到对应 agent
• • 流式文本跨过 tool call 不断流
• • /compact 在 generic ingress 上能工作
• • callback 走具体 API，draft chunking 共享
• • dispatch dedupe 移到 SDK 层
• • 未授权 DM 文本不进缓存、不进 prompt context

iMessage

• • 长连接 inbound restart
• • durable echo markers
• • block streaming
• • idle 状态下 approval 探测
• • hardened outbound transport
• • 可执行的 inbound 启动期诊断

WhatsApp

• • 配置变化触发真正重启
• • 启动期后台等待有界
• • 失败 socket 关闭
• • 重连行为保留
• • captured replies 在 controller 重启后挂到 successor

飞书

• • 限流自动重试
• • 流式卡片保留完整合并内容

Discord

• • 恢复 reply hydration
• • runtime timeout export 修好
• • moderation 走更严审核

Mattermost

• • 线程回复保留

LINE

• • webhook 路径 canonicalize（不再因路径变体漏接事件）

MCP / 浏览器

• • existing-session CDP 支持
• • WebSocket 校验
• • default profile cdpUrl 处理
• • browser-output 边界更安全
• • Streamable HTTP loopback transport
• • OAuth / SSE 授权处理按标准走
• • schema 兼容性扩面

四、性能调优

这一波”看不见但能感觉快一点”的小改动也不少：

• • Control UI 启动和首回复延迟降低：模型元数据缓存、去掉启动期 catalog 等待、slash command 懒加载、首事件埋点 + 慢回复诊断
• • TUI 预热 runtime plugins
• • plugin auto-enable fanout 去重
• • 停止 /models 派生注册表的 rescan storm（6.6 正式版新增）
• • 密集 text-delta snapshot 瘦身
• • 启动期模型元数据复用
• • local llama.cpp 运行时迁入 provider plugin
• • embedding 跨文件批处理
• • agent model catalog cache 持久化
• • QMD JSON search 一次性扫描 + 过滤陈旧 REM recall 预览

State 迁移到 SQLite（统一管理）：

• • Matrix sync 和 crypto sidecar
• • memory-wiki import/source-sync
• • sandbox registry
• • ACPX 进程状态
• • device-pair notify
• • Zalo hosted media
• • plugin SDK dedupe

对普通用户最直观的：开启 Control UI 后第一条回复明显快了。/models 命令不再卡顿。

五、易踩坑提醒（升级前看一眼）

升级到 6.6 之前，建议挨个对一下：

1. 1. cron 旧 JSON 存储：doctor 启动时自动迁移，别在迁移完成前手动停服务，否则 cron 状态可能丢一段。
2. 2. service env 占位符：systemd / launchd 里塞了 STATE_DIR= 这种未解析占位符，升级后会真正盖住 state-dir 里的 .env。请从 service unit 删掉。
3. 3. WhatsApp 账号：配置重载会真的拆掉 disabled 账号，调试时记得备份。
4. 4. inline image 脱敏：之前工作流是把图片 bytes 塞进 data URL 走 transcript 文本流，升级后会被 redact 兜住（这是新行为），导出/转录的图会变占位。
5. 5. Anthropic thinking 签名回放：长会话跨 cache 过期场景会触发新 retry 路径，第一次跑会看到更多 retry，但稳。
6. 6. Codex realtime voice：必须 API-key 鉴权，本地模型跳过 guardian review。
7. 7. exec approvals 超时：从”超时默认放过”改成”超时直接拒绝”。CI / 自动化里如果有依赖超时通过的脚本，需要把审批 timeout 调长或在脚本里主动 ack。
8. 8. Telegram DM 缓存：未授权 DM 文本不再进缓存和 prompt context。如果你之前依赖这个做”对端可读我看不见”的反向审计，请换路径。
9. 9. Gateway RPC timeout 输入校验：畸形 timeout 输入会被直接拒绝（#54646）。检查你的自定义 timeout 配置。
10. 10. /models 派生注册表：6.6 正式版不再触发 rescan storm（#92127），但升级前如果你遇到 /models 卡顿的现象，升级后会明显好转。
11. 11. OpenRouter OAuth：首次接入会卡在浏览器弹窗，自动化环境记得预生成 refresh_token。
12. 12. Native hook relay 生命周期：#91550 限制了 relay 生命周期，abandoned 连接不再无限残留。如果你依赖长连接行为，升级后要重新验证。

六、给运维 / 二次开发者的几点小贴士

• • 看 release notes 的顺序：先看 Highlights（主线交付）→ 再看 Changes（能力新增）→ 最后看 Fixes（容易被自家代码碰瓷的细节）。
• • PR 编号怎么查：每个亮点都挂了 #PR号，去 GitHub 搜 openclaw/openclaw#xxxxx 就能看到具体 diff。
• • 
• 6.6 正式版的 release verification 完整
• ：
• • npm preflight、full release validation、release publish 三个独立 run
• • plugin npm publish 和 plugin ClawHub publish 单独走，不被主流程 block
• • 升级前先看 npm preflight 跑没跑通再决定切换
• • beta 阶段升级到正式版：2026.6.5-beta.X 列车上的 session-metadata SQLite 迁移 在 6.6 正式版里不包含（Beta.6 已经 deferred 回 main 改进）。别按”下一个版本就迁”排工。

写在最后

6.6 正式版 = 6.6-beta.1 的所有主线 + 完整 release 证据链 + 几个增量 fix。这一轮优先级清晰：

1. 1. 先把安全和边界收住（MCP / Anthropic / exec approvals / transcript 脱敏 / Codex realtime / Gateway RPC）
2. 2. 再把渠道和 MCP 联通性修稳（Telegram / iMessage / WhatsApp / 飞书 / Discord / 浏览器）
3. 3. 最后做体验打磨（Control UI 启动 / /models 不卡 / TUI 预热）

如果你是从 6.5 系列升上来，主要看 §5 易踩坑的 12 条；如果你是从 6.4 或更早升上来，强烈建议先小流量灰度，先把 §2 安全段落的 12 处改动走一遍。

下一篇会拆一下 Gateway RPC timeout 输入校验（#54646）这条改动背后的安全模型，这是 6.6 跨多渠道、多 provider 的安全加固里最基础的一环，感兴趣的话点个在看。

参考：openclaw/openclaw · GitHub Releases v2026.6.6（含 v2026.6.6-beta.1 全部主线 + 6 个 6.5 Beta 增量）