OpenClaw 6月6日更新:安全边界继续收紧-夜雨聆风

OpenClaw 6月6日更新:安全边界继续收紧

OpenClaw 发布了 2026.6.6 更新。这里和大家说一下，它现在的版本日期并不是发布日期，比如 6月6日这个版本，实际发布日期是6月 12日。

简单说，这次不是一个“新增了什么大功能”的版本，而是把 OpenClaw 长期运行时最容易出问题的地方继续补上：安全边界更严格了，MCP 和浏览器连接也继续修了一批边界问题。如果你已经把 OpenClaw 当成日常助理来用，这版的意义也并不小。

安全边界继续收紧

这次更新里，最重要的是安全相关的一批改动。

OpenClaw 这种 agent 工具，能力越强，越需要清楚地知道“哪些东西不能碰”。比如环境变量、浏览器输出、MCP 工具返回内容、transcript、sandbox 绑定路径、HTTP 访问权限，这些地方如果边界不清楚，就很容易出现内容被错误带入上下文，或者工具访问范围比预期更大的问题。

举个例子，比如 #91618 这个提交，增加了下面几个环境变量黑名单，性质都差不多：

为什么要把这些变量列进黑名单，核心原因是它们不是“普通配置”，而是会偷偷改变子进程行为的开关。比如 OpenClaw 过去公开过的安全公告里，就提到过这类环境变量会把 git、包管理器或者启动路径导向别的地方，导致你批准的是这个命令，实际跑的却是另一套行为。

实际的黑名单更长，这4个只是本次更新增加的。

它们的共同点就是：看起来像“环境变量”，实际上会让解释器或者 shell 在启动时去读别的东西、找别的路径，属于典型的会悄悄改运行语义的变量。把它们黑名单化，等于是在说，OpenClaw 允许跑这个命令，但不允许用环境变量把这个命令偷偷换一种执行方式。

类似这样的安全边界加固，这次一共做了 14 个提交，这里只是其中一个。其他更细的内容，感兴趣的话可以直接去看这版更新日志的原始说明。

这类更新通常不太显眼，但很重要。

这次还有一批和 MCP、浏览器控制相关的修复。

比如 CDP 连接、WebSocket discovery、browser output boundary、MCP Streamable HTTP、OAuth/SSE authorization 等等。看起来比较底层，但它们都是 OpenClaw 扩展能力的入口。

浏览器、MCP、本地 loopback、OAuth，这些东西让 agent 能做更多事，但入口越多，越需要小心。否则工具调用失败只是小问题，更大的问题是上下文污染、权限边界不清楚，或者某个连接状态坏掉后影响整个 session。

所以这部分我会把它看成一次“外部工具连接层”的加固。

这版也有一些体感优化，比如模型 metadata 缓存、启动 catalog 不再阻塞、slash command lazy loading、first-event tracing、slow-reply diagnostics 等。

这些改动不会让你看到一个全新的按钮，但会影响日常使用时的顺滑程度。启动慢、第一条回复慢、卡住不知道为什么，是 agent 工具很容易让人烦的地方。现在这些地方开始有缓存和诊断，说明项目在继续打磨长期使用体验。

整体来看，2026.6.6 不是一个特别炫的新功能版本。

如果你只是偶尔打开 OpenClaw 玩一下，可能不会马上感受到巨大变化。但如果你已经在用 iMessage、MCP、浏览器控制，或者让 OpenClaw 长时间在线工作，这次更新就比较值得关注。

它修的不是“看起来厉害”的东西，而是“长期跑起来少出事”的东西。

Github 更新说明原文：https://github.com/openclaw/openclaw/releases/tag/v2026.6.6