大家好，我是程序员虎哥，跟踪学习、不定期同步以 OpenClaw 为代表的 Agent 技术。技术发展应该为劳动者减负，而不应该增加焦虑和内耗~

十一镇楼

OpenClaw 每日更新 | 3 月 23 日：安全修复与 Subagent 稳定性改进

📊 概览

统计时间：2026 年 3 月 23 日（太平洋时区 PDT UTC-7）

分类统计

主要贡献者 TOP 5

🔒 安全修复

1. Skill Installer 验证与终端清理

贡献者：Val Alexander

内容：

• fix(security): resolve Aisle findings — skill installer validation, terminal sanitization, URL scheme allowlisting
• 扩展 installer regex allowlists（SAFE_GO_MODULE、SAFE_BREW_FORMULA、SAFE_UV_PACKAGE）
• 去重 safeExternalHref 调用
• 修复 CLI channel-auth 的原型链污染和控制字符注入问题

修复详情：

• SAFE_GO_MODULE：允许模块路径中的大写字母（A-Z）
• SAFE_BREW_FORMULA：允许版本化公式的 @ 符号（python@3.12^[1]）
• SAFE_UV_PACKAGE：允许 extras [standard] 和等号固定（==）
• 在技能详情 API 密钥部分缓存 safeExternalHref 结果

影响：提高了技能安装和 CLI 认证的安全性。

2. Windows Media 路径防护

贡献者：Peter Steinberger

内容：

• fix(media): block remote-host file URLs in loaders
• fix(media): harden secondary local path seams
• docs(changelog): add Windows media security fix

意义：防止远程主机文件 URL 在媒体加载器中被滥用。

3. Android Canvas Bridge 门控

贡献者：Vincent Koc

内容：

• fix(android): gate canvas bridge to trusted pages
• 将 Canvas Bridge 限制为仅受信任的页面可用

意义：提高了 Android 端 Canvas 操作的安全性。

🤖 Subagent 稳定性修复

1. Subagent 清理与过期处理

贡献者：Tak Hoffman

内容：

• fix: finalize deferred subagent expiry cleanup
• fix: finalize resumed subagent cleanup give-ups
• fix: delete subagent runs after announce give-up
• fix: preserve subagent ended hooks until runtime init
• fix: report dropped subagent announce queue deliveries
• fix: preserve direct subagent dispatch failures on abort

意义：完善了 Subagent 的生命周期管理，确保在超时、放弃等场景下正确清理资源。

2. Subagent 公告队列修复

贡献者：Vincent Koc, Onur Solmaz

内容：

• fix(subagents): recheck timed-out announce waits
• fix(reply): clear idle followup callbacks
• fix(reply): preserve no-debounce inbound concurrency
• Telegram: fix fire-and-forget debounce order
• Telegram: preserve inbound debounce order

意义：修复了 Subagent 公告队列的超时处理和并发问题。

🖥️ UI 改进

1. Control UI 优化

贡献者：Val Alexander

内容：

• feat(ui): Control UI polish — skills revamp, markdown preview, agent workspace, macOS config tree
• style(ui): polish agent file preview and usage popovers
• style(ui): continue ui clarity pass across theme, config, and usage
• fix(ui): resolve model provider from catalog instead of stale session default

改进详情：

• Skills 面板重构
• Markdown 预览对话框
• Agent 工作区改进
• macOS 配置树展示
• 使用空间链接可点击
• Usage 过滤器和导出弹出窗口定位优化

影响：提升了 Control UI 的用户体验。

2. TUI 修复

贡献者：joelnishanth

内容：

• fix(tui): preserve user message during slow model responses
• 当本地运行以空最终事件结束而另一个运行处于活动状态时，跳过历史记录重新加载
• 防止清除用户待处理的消息

影响：修复了慢速模型（如 Ollama）响应时消息消失的问题。

🔧 插件修复

1. Matrix 插件恢复路径

贡献者：Catalin Lupuleti

内容：

• fix(plugins): make Matrix recovery paths tolerate stale plugin config
• fix(plugins): address review feedback for Matrix recovery paths

修复详情：

• 缩小 loadConfigForInstall() 仅捕获 INVALID_CONFIG 错误
• 在清理测试中断言 allow 数组被正确清理
• 在 install 期间运行 cleanStaleMatrixPluginConfig()

影响：Matrix 插件安装更稳定。

2. Discord 原生命令认证

贡献者：scoootscooob

内容：

• fix(discord): reply on native command auth failures
• 在原生命令认证失败时进行回复

影响：提高了 Discord 原生命令的错误处理。

3. Telegram 线程工具上下文

贡献者：Taras Lukavyi

内容：

• fix: populate currentThreadTs in threading tool context fallback for Telegram DM topics
• 在 buildThreadingToolContext 的回退路径中设置 currentThreadTs

影响：修复了 Telegram DM 主题中消息工具发送错误路由的问题。

4. Brave 搜索插件默认启用

贡献者：Quinn H.

内容：

• fix(plugins): enable bundled Brave web search plugin by default
• 将 Brave 添加到 BUNDLED_ENABLED_BY_DEFAULT

影响：Brave 搜索插件现在默认启用。

🧪 测试改进

1. 测试隔离与稳定性

贡献者：Peter Steinberger

内容：

• test: harden parallels smoke harness
• test: prune low-signal live model sweeps
• test: stabilize matrix and teams ci assertions
• test: harden linux runtime smoke guards
• test: harden channel suite isolation
• test: harden no-isolate mocked module resets
• test: harden no-isolate reply teardown
• test: stabilize ci test harnesses

意义：大量测试隔离和稳定性修复，提高了 CI 可靠性。

2. CI 优化

贡献者：Peter Steinberger, Tak Hoffman

内容：

• ci: balance shards and reuse pr artifacts
• ci: rebalance sharded test lanes
• ci: cap channel shard workers
• ci: stabilize windows and bun unit lanes
• ci: shard bun test lane
• ci: shorten main critical path

意义：CI 运行更快、更可靠。

📦 发布流程

1. macOS 发布自动化

贡献者：Onur Solmaz

内容：

• release: automate macOS publishing
• release: keep mac appcast in openclaw repo
• release: require preflight before publish
• release: generate signed appcast as workflow artifact

意义：macOS 应用发布流程自动化，提高了发布效率。

2. npm Release 修复

贡献者：Peter Steinberger, Vincent Koc

内容：

• fix(release): fail empty control ui tarballs
• fix(release): raise npm pack size budget
• fix(release): ship bundled plugins in pack artifacts
• fix(plugins): accept clawhub uninstall specs

意义：npm 发布流程更稳定。

📝 文档改进

1. CLI 命令树修复

贡献者：Vincent Koc

内容：

• docs: fix CLI command tree, SDK import path, and tool group listing
• 移除不存在的 'secrets migrate' 命令
• 添加实际的 secrets 子命令：audit、configure、apply
• 添加插件子命令：inspect、uninstall、update、marketplace list
• 修复 SDK 导入路径

影响：文档更准确。

2. 导航排序

贡献者：Vincent Koc

内容：

• docs: fix nav ordering, missing pages, and stale model references
• 按字母顺序排序提供者和频道导航
• 添加缺失的页面到导航
• 更新过时的模型引用

影响：导航更清晰。

📈 贡献者榜单

📝 观察与总结

技术趋势

1. 安全意识提升：多个安全修复显示团队对安全问题的重视，包括 Skill Installer 验证、终端清理、URL scheme 白名单等。

2. Subagent 稳定性：大量 Subagent 相关修复表明团队在完善 Subagent 的生命周期管理和错误处理。

3. 测试驱动开发：20% 的 commits 是测试相关，大量测试隔离和稳定性修复提高了 CI 可靠性。

4. 发布流程自动化：macOS 发布自动化和 npm release 修复显示团队在提高发布效率。

代码质量观察

• 安全修复及时：发现安全问题后迅速修复
• 测试覆盖全面：大量测试隔离和稳定性修复
• 文档维护及时：CLI 命令树和导航修复

🔗 相关链接

• OpenClaw GitHub: https://github.com/openclaw/openclaw^[2]
• 本次 Commits 对比：https://github.com/openclaw/openclaw/compare/之前的^[3] SHA..da60aff17a

这是「Agent 扫地僧」的 OpenClaw 每日更新。如果你觉得有价值，欢迎关注公众号，一起跟踪学习 Agent 技术~ 🧹

引用链接