大家好，我是老里。

今天，OpenClaw 发布了 3.28 版本。

一开始我以为又是常规更新——毕竟 OpenClaw 几乎每周都在迭代。

但看完更新日志，我发现：这次真不一样。

上周，OpenClaw 之父 Peter 忘记打包 UI 文件，导致 3.22 版本集体白屏。海量用户以为自己的 AI 助手"死透了"。

虽然 3.23 紧急修复了，但这事儿给所有人敲响了警钟：

现在的 AI Agent，权限太大了。

一点点疏漏，都可能是一场灾难。

能力越强，风险越大

过去一年，AI 工具爆发式增长。

ChatGPT、Claude、Gemini、Grok……每个都很强，但它们各自为战。

你想用 Claude 写代码，用 Grok 搜索，用 MiniMax 生图——光是在不同工具之间切换，就要花掉半天时间。

OpenClaw 的价值，就是把这些 AI 能力整合到一个工作流里。

但能力越强，风险越大。

前段时间，ClawHub 官方商店出现过一个人上传了 300 多个恶意技能。全都披着"金融分析"、"自动更新"的外衣，干着偷偷下载不明文件的勾当。

更别提那些长得跟官方一模一样的钓鱼镜像站。

这次 3.28 更新，核心就是两个字：安全。

最重要的更新：高危操作拦截

这次更新最重要的功能，不是模型升级，不是画图能力，而是：

插件异步审批流程（requireApproval）。

以前，AI 执行高危操作时，要么直接执行，要么直接拒绝。

现在，AI 可以暂停执行，弹个框问你："老板，这活儿能干吗？"

你可以在 Telegram、Discord 或命令行里确认后再执行。

听起来很简单，但这是 AI Agent 安全性的一次质变。

想象一下：你的 AI 助手要删除一个文件、修改配置、发送邮件——现在它会先问你一句，而不是直接干。

这个功能，救命。

三个核心能力升级

1. 代码补丁自动生成

OpenAI/Codex 默认启用 apply_patch。

以前，AI 帮你写代码，你还得手动复制粘贴、合并冲突。

现在，AI 直接生成代码补丁，自动应用到你的项目里。

从"AI 给建议"到"AI 直接改代码"。

2. Grok 搜索无缝集成

xAI provider 切换至 Responses API，x_search 成为一等公民。

Grok 的实时搜索能力一直很强，但之前在 OpenClaw 里用起来有点别扭——需要手动配置、手动切换。

现在，x_search 直接内置，和其他工具一样好用。你问 AI 问题，它需要搜索时，自动调用 Grok 的实时数据。

3. 图像生成能力增强

MiniMax image-01 接入，支持文生图和图生图编辑。

以前，OpenClaw 主要是文本和代码工作流。

现在，图像生成也纳入了工作流——你可以在同一个对话里，让 AI 写文案、生成配图、调整图片细节。

多模态工作流，真正打通了。

破坏性变更：安全升级

这次更新有个"破坏性变更"：移除了旧版 Qwen OAuth 集成。

如果你还在用旧版 Qwen 配置，升级后会直接校验失败——不会自动迁移，必须手动重新配置。

听起来很麻烦，但这是安全升级的必要代价。

旧版 OAuth 存在安全隐患，OpenClaw 团队选择直接砍掉，而不是继续兼容。

这是一个负责任的选择。

其他值得关注的更新

多平台修复：

•  Microsoft Teams 迁移至官方 SDK，体验更流畅
• Telegram 长消息分割优化，不再断词
•  WhatsApp 修复无限回声循环
•  Discord 自动线程命名支持 LLM 生成

这些看起来是"小修小补"，但对日常使用体验的提升，是实实在在的。

为什么这次更新很重要？

OpenClaw 的更新策略，正在从"功能堆砌"转向"安全优先"。

以前：支持更多 AI 模型，支持更多平台。

现在：让这些 AI 能力安全协作，让工作流更可控。

高危操作拦截、apply_patch、x_search、image-01——这些更新的共同点是：在提升能力的同时，不牺牲安全性。

这才是 AI 代理工具的正确方向。

安全建议（重要）

无论你的 AI 助手有多聪明，一定要装上官方的 Skill Vetter：

https://clawhub.ai/spclaudehome/skill-vetter

这东西就像一个极其严苛的安检员。

哪怕你只是想装一个查天气的简单技能，它也会把底层代码翻个底朝天——看看有没有偷偷往外传数据，有没有试图读你的私钥配置，有没有去偷窥你的 MEMORY.md 记忆文件。

只要碰到红线，直接毙掉。

前段时间 ClawHub 出现的 300 多个恶意技能，就是靠这个拦下来的。

升级建议

如果你正在用 OpenClaw，建议尽快升级到 v2026.3.28。

升级前注意：

1. 如果用了旧版 Qwen OAuth，先备份配置
2.  升级后重新配置 Qwen（用 Model Studio API key）
3.  检查插件审批设置（新增的异步审批可能需要调整）

升级命令：

npm update -g openclaw

或者用 pnpm：

pnpm update -g openclaw

写在最后

OpenClaw 的更新速度，一直很快。

但这次 3.28，不只是"快"，而是"稳"——每个更新都在平衡能力与安全。

高危操作拦截、代码补丁自动生成、实时搜索无缝集成、多模态工作流打通——这些功能，都是为了一个目标：

让 AI 真正成为你的工作伙伴，而不是一个定时炸弹。

能力越强，责任越大。

OpenClaw 3.28 的核心价值，不是让 AI 更强，而是让 AI 更安全地变强。

好了，今天就聊到这里。

如果你也在用 OpenClaw，记得装上 Skill Vetter，开启高危操作审批。

我们下次见。