OpenClaw 周报 :安全边界大面积加固,14个PR重建安全底线

版本：v2026.6.6 · 2026 年 6 月第 4 周 · 357 commits

6.6 是 OpenClaw 史上最大规模安全重构，14 条安全边界（Security Boundaries）PR 一次性覆盖对话记录、MCP 接入、Codex 调用、Discord 审核等全部边界节点，同时 Telegram/iMessage 全链路修复继续收敛，版本号正式进入 `YYYY.M.PATCH` 月度节奏。

本周正式版 357 commits，6 条主线按维度横向覆盖，不按条目逐一罗列。

安全边界：14 个 PR 一次性重建

本周史无前例地集中了 14 个安全边界（Security Boundaries）合并请求（PR），覆盖范围横跨对话记录、沙箱（sandbox）绑定、宿主环境变量继承、MCP 标准输入输出（stdio）、Codex HTTP 访问、原生搜索策略、高权限发送方校验、已删除 Agent 的 ACP 绕过、本机回环工具、Discord 内容审核，以及 Teams 群组操作。关键新行为：执行审批（exec approvals）在超时后改为”默认拒绝”（fail closed），不再默认放通。这是对过去边界漏洞的全面补墙，线上有直接暴露风险的项目均已覆盖。

Telegram 交付安全：一致性收敛

Telegram 方向本周继续收敛，核心是 9 个 PR 解决账号维度的群组话题（account-scoped topics）路由、流式文本在工具调用后存活、`/compact` 指令在通用入口（generic ingress）上可用、回调使用具体接口（concrete APIs），以及最关键的一条：未经授权的私信文本不再进入缓存（cache）和提示词上下文（prompt context），彻底隔断了信息侧信道。Telegram 连续三个版本（6.4/6.5/6.6）都在修交付，说明线上问题密度高，这次 9 个 PR 集中修复后有望进入稳定期。

iMessage 全链路恢复：7 个 PR 重建 Apple 平台

iMessage 本周 7 个 PR 全链路修复：常驻入站通道自启、持久的回声标记（durable echo markers）、分块流式输出（block streaming）、空闲时的审批发现、加固的出站传输，以及可操作的入站启动诊断。Apple 平台稳定性问题积累已久，本周是年内最大一次专项修复，涵盖从入站建立到交付的全部节点。iOS 用户下周可重点观察连接稳定性是否回升。

浏览器 / MCP 连接扩展：复用已有会话

浏览器与 MCP 侧 6 个 PR 带来实质性能力扩展：

复用已有的 Chrome 调试协议会话（existing-session CDP support）

Web 服务发现（WebSocket discovery）校验

默认配置文件的 `cdpUrl` 处理

可流式 HTTP 的回环传输（Streamable HTTP loopback transport）

OAuth 与 SSE 授权（authorization）修正。

最大变化是更广的接口规范兼容，MCP 连接从此不再严格依赖特定接口版本，生态兼容性提升一个档次。

控制台启动优化：延迟降低体感明显

控制台（Control UI）侧 5 个 PR 专项优化：

复用缓存的模型元数据（cached model metadata）

移除启动期的模型目录等待

斜杠命令（slash-command）按需惰性加载

首次事件追踪搭配慢响应诊断。

这组改动直接影响 macOS/Linux 桌面用户的启动体验，模型元数据缓存和命令惰性加载可以把冷启动延迟缩短数秒，是本周体感最强的优化之一。

模型提供方扩展 + QQ Bot 新功能

模型提供方（Provider）侧三条主线：OpenRouter OAuth 新认证方式上线，Claude Fable 5 支持自适应思考（adaptive thinking），Gemma 4 保留推理回放（reasoning replay）。本地 llama.cpp 运行时（runtime）正式迁出核心层、进入模型提供方插件（provider plugin），标志插件化架构演进的成熟。另外 QQ Bot 群聊 @ 触发开关（group mention toggle） 是中文用户特有场景的功能，QQ Bot 现在可以精准控制群聊触发方式，不再被无关消息打扰。

v2026.6.7-beta.1（6 月 13 日）和 v2026.6.8-beta.1（6 月 14 日）两版 beta 同天隔日连发，信号密度极高。按维度聚合三个版本号的核心方向。

维度一：安全 — 双重”默认拒绝”收紧

6.7 和 6.8 在安全方向上形成双重收紧：6.7 的 CLI 备份的 `/btw` 兜底逻辑默认拒绝（fail closed），6.8 的 OpenAI/Anthropic 请求载荷（payload）改为隔离（quarantine，而非直接拒绝）。前者堵住本地命令行侧信道，后者对异常的推理签名（reasoning signature）不再直接拒绝、而是先隔离再处理，在安全和可用性之间给出更精细的平衡点。GLM-5.2 首次出现，国产模型支持扩大。

维度二：模型提供方韧性 — 思考回放修复

Anthropic 的思考回放（thinking replay）修复（#92387）是 6.7 最大亮点之一，Kimi K2.7 Code 新上线、Mistral 跳过不可读的接口规范、Fireworks 模型目录参数规范化、DeepSeek 保持静态传输（static transport）。6.8 方向是 GLM-5.2 + Claude Haiku 4.5 双小模型扩展，OpenRouter/Vertex 模型提供方前缀（provider-prefix）规范化，LM Studio 二进制以”关闭思考”方式交付。模型提供方层故障容忍和模型覆盖面同时扩展。

维度三：消息渠道 — Telegram 富文本 + WhatsApp 代理调用协议

6.8 将 Telegram 富文本带入表格、列表、可展开引用块（expandable blockquotes）时代，同时 WhatsApp 遵循配置的 ACP 绑定新能力上线。Telegram 富文本能力补全后，周边渠道（Slack 终态保留、飞书不再泄露运行时上下文）也同步收敛。WhatsApp 代理调用协议绑定（ACP binding）是 6.8 的新增亮点，多渠道一致性又进了一步。

本周最有感细节

执行审批（exec approvals）超时改为”默认拒绝”（fail-closed） — 这是安全行为变化最明显的一条。以往超时默认放通，现在超时直接拒绝，外部集成方需要检查自己的超时配置是否合理。这条改动直接影响有执行类工具（exec tool）的所有 Agent 部署，建议所有使用者复核超时值。

QQ Bot 群聊 @ 触发开关 — 中文用户特定场景功能。QQ Bot 现在可以精准控制群聊 @ 触发方式，不再被无关消息打扰，是本周唯一与中文用户直接相关的功能点。

基于 6.7/6.8 beta 方向预判。

– Telegram 富文本体验：表格 / 列表 / 引用块上线后社区反馈如何，多媒体交付体验是否稳定 

– 安全边界 14 个 PR 效果评估：线上是否有边界问题回退，超时默认拒绝是否引发集成方配置调整 

– GLM-5.2 / Claude Haiku 4.5 落地：国产大模型和 Claude 小模型场景覆盖是否带来新增用户群 

– iMessage 全链路稳定性：7 个 PR 修复后 Apple 平台连接成功率是否显著回升