夜雨聆风这不是一篇吹捧文章。这是我认真研究完最近三个月代码变更后,得出的一个判断。
先说事实
过去两周,OpenClaw 连续发布了三个版本:v2026.3.11、v2026.3.12、v2026.3.13。GitHub Release 页面显示,每个版本都有大量 PR 合并,最新一个版本收获了 262 个 GitHub reactions。
这不是一个”维护性项目”的节奏。
我花了几个小时系统梳理了这些版本的所有变更、正在审查的 PR、以及项目的技术架构,想搞清楚一件事:OpenClaw 现在到底是什么,它在往哪里走?
结论写在前面:OpenClaw 正在从”AI 对话工具”进化为一个”AI Agent 操作系统”。
一、Fast Mode:统一入口的野心
v2026.3.12 最显眼的新功能是 GPT-5.4 和 Claude 的 Fast Mode 统一支持。
表面上,这是一个体验优化——用户敲 /fast 就能切换到付费高速模式。但背后意味着两件事:
第一,OpenClaw 在模型层做了抽象隔离。 你不需要知道”Anthropic 的 service_tier 和 OpenAI 的实现机制不同”,OpenClaw 屏蔽了这些细节。这对普通用户是体验优化,对插件开发者和深度用户是 API 层面的稳定性保证。
第二,多模型支持已经成为一等公民。 OpenRouter、Ollama、vLLM、SGLang 在同一版本里全部迁移到了 provider-plugin 架构。这意味着如果你想从 OpenAI 切换到本地部署的模型,改一行配置就够了,不需要重写任何集成代码。
这个方向走下去,OpenClaw 的定位越来越像一个”模型无关的 Agent 运行时”。
二、移动端:被忽视的战场
技术社区关注 OpenClaw 往往盯着服务端功能。但 v2026.3.11 到 v2026.3.13 的移动端改进,其实是被严重低估的部分。
Android 端:
聊天设置页面重新设计,分组了设备和媒体设置 改用 Google Code Scanner 替代 ZXing 做二维码扫描(扫描可靠性提升) Android App 目前还没有公开发布,但这是一个明确的信号——团队在认真做移动端
iOS 端:
首次运行欢迎页 + 入门引导流程 主界面改为固定工具栏替代浮动控件 TestFlight beta 发布流程已就绪 Home Canvas(主屏画布)支持实时 Agent 概览,连接/重连/前台返回时自动刷新
这里有一个判断: 大多数开源 Agent 项目放弃移动端,因为投入太大。但 OpenClaw 正在做,是因为它的目标不是一个”命令行工具”,而是覆盖所有用户接触点的完整平台。
三、浏览器自动化:生产级工具的成熟
browser 工具在 v2026.3.13 有了重大升级:
- Chrome DevTools MCP 集成
:支持直接 attach 到用户已有的 Chrome 会话,实现”用已登录状态”做浏览器自动化 - profile=”user”
:Agent 可以操控本机已登录的真实浏览器 - profile=”chrome-relay”
:Chrome 扩展中继模式 - batched actions
:批量操作、选择器定位、延迟点击
加上 Playwright 浏览器路径从 ~/.cache/ms-playwright 迁移到 /opt/playwright(符合 FHS 标准,方便 Docker 持久化),浏览器自动化在 OpenClaw 里已经是一个生产可用的功能,而不只是演示玩具。
四、安全加固:认真的工程团队
这是让我对 OpenClaw 团队印象最深的部分。
最近三个版本里,安全相关的修复和加固超过 20 项,而且涵盖面极广:
- 设备配对
:setup codes 改为短生命期 bootstrap tokens,不能被 replay 攻击重用 - WebSocket 安全
:浏览器 origin 验证收紧,防止跨站 WebSocket 劫持 - 插件安全
:workspace 插件不再自动加载,防止克隆仓库执行未授权代码 - Exec 审批
:大量边界情况处理——Perl -M/-I、PowerShell-File/-f、pnpm 各种运行形式、Ruby 加载路径……每一个都是真实漏洞或接近漏洞的边界情况 - 命令权限
: /config和/debug现在要求发送者所有权认证,防止授权用户绕过限制 - Feishu、Zalo、Line、Telegram
:各自有专项 webhook 签名验证和攻击面收紧
这些安全修复不是”加个验证”那种表面工作。 每一个都附带了完整的 GHSA 编号、复现步骤、影响评估和测试覆盖。这说明 OpenClaw 的维护者不只是被漏洞推动,而是在主动做威胁建模。
五、最被低估的功能:Rescue Watchdog
这是一个还没合并但非常值得关注的方向。
PR #46502 正在推进一个 Rescue Watchdog 服务:一个独立的守护进程,可以检测到主 Gateway 不健康时,自动执行修复流程,而不需要通过主会话来处理。
技术细节很有意思:
在 macOS 上使用 launchd plist,写入时做原子操作和 0600权限控制支持 AbortSignal,修复操作可以被取消而不会挂起新增 rescueWatchdogcron payload,在 isolated session 执行,不污染主 session有 doctor repair 的 fallback 机制
为什么这个功能重要?
它意味着 OpenClaw 正在解决”谁来看守看守者”的问题。任何长期运行的 Agent 系统,最终都需要某种自愈机制。大多数开源项目在这里是空白,OpenClaw 在认真填补。
六、Nacos 配置源:企业级的一步
PR #49841 引入了可选的 Nacos 配置源支持——通过环境变量启用后,Gateway 可以从 Nacos(阿里开源的配置中心)实时拉取配置,并通过长轮询实现热更新,不需要写文件,不需要重启。
这不是一个炫酷功能,但它意味着 OpenClaw 在认真进入企业级使用场景。结合 Kubernetes 部署文档(v2026.3.12 首次加入),OpenClaw 的定位正在向”可以在企业基础设施上长期运行的生产级 Agent 平台”靠拢。
七、技术债务管理:让人意外的成熟度
读 OpenClaw 的 changelog 时有一个很深的感受:他们不只是在加功能,也在认真做技术债务管理。
最近的几个例子:
CONFIG_DIR是个 ESM import 时计算的常量,但 .env在runCli()里才加载,导致OPENCLAW_STATE_DIR在.env里设置时被忽略。这个 bug 影响到 skills/hooks/cron/plugins 的路径解析。修复方式是把所有引用换成resolveConfigDir()函数调用,8个文件、22行变更。ollama的 reasoning 模型输出处理不当,导致 thinking 内容泄漏到最终回复里。修复精准到版本比较操作符。 openclaw gateway status --require-rpc和更清晰 Linux 非交互式守护进程安装失败报告,让自动化场景的失败可被精确检测。
这些修复的共同特点是:精准、有限边界、有测试覆盖。 这不是靠大量测试倒逼出来的质量,而是有意识的技术决策。
最后:一个判断
AI Agent 赛道现在很热,但大多数项目处于两个极端:
- 一边是”AI 应用”
:套了个 Agent 概念,实际是个对话界面,靠提示词工程工作 - 另一边是”基础设施”
:过于底层,用起来需要大量配置,普通用户根本无法上手
OpenClaw 在做的事情,是把基础设施的复杂度封装掉,同时保留足够的可扩展性。它的目标用户既包括”想用 AI 提升效率的普通用户”(通过移动 App 和对话界面),也包括”想构建复杂 Agent 系统的开发者”(通过 MCP、Plugin API、sessions_spawn)。
这两类用户在大多数 Agent 项目里是冲突的——为了一端的体验往往牺牲另一端的灵活性。OpenClaw 的设计选择是在同一套系统内同时服务好两边,而不是选边站。
这是我认为它值得认真关注的原因。