夜雨聆风很多人看 OpenClaw 3.28,只看到了功能爆更。但真正值得看的,是 Agent 开始从“能执行”走向“可控执行”。
大家好,我是 One。
OpenClaw 3.28 这次更新很大。
如果只是扫一眼更新日志,你很容易得到一个结论:Grok 搜索内置了,MiniMax 画图接进来了,Qwen 接入方式调整了,插件、CLI、频道、图像理解、配置迁移、运行时和一堆底层问题都在动。
表面上看,这就是一次典型的大版本迭代。功能更多了,能力更全了,生态也继续在扩。
但说实话,这不是我看完 3.28 之后最在意的点。
我真正觉得值得盯住的,是另一件事:
OpenClaw 开始认真补 Agent 的“可控执行”能力了。
这件事听起来没有“接了哪个新模型”那么显眼,但如果你真的在看 Agent 往哪里走,就会知道,这比很多表层更新都更关键。
一、很多人现在看 Agent,还是太容易只看到“能力”,看不到“边界”
过去大家聊 Agent,重点基本都在“它还能干什么”。
能不能搜。能不能画。能不能写代码。能不能接更多模型。能不能把聊天窗口直接变成工作区。
这些当然都重要。
但问题是,当 Agent 真开始往执行层走,真正决定它能不能进入真实工作流的,往往不是“能力再多一点”,而是下面这些问题:
它会不会误操作? 它有没有越权风险? 它在高危动作前能不能被拦下来? 它接进来的技能到底安不安全? 用户能不能在关键一步把控制权接回来?
换句话说:
Agent 变强,不等于 Agent 变得可用。很多时候,恰恰是越强,越需要边界。
这是过去很多 Agent 产品都没有真正补好的地方。
二、所以 3.28 里最值得看的,不是功能数量,而是 requireApproval
这次更新里,我最看重的是插件钩子新增的 requireApproval。
翻成人话其实很简单:
Agent 在执行高危动作之前,可以先停下来,等用户确认。
而且这不是单一场景下的本地确认。它支持命令行、Telegram、Discord,以及统一的 /approve 审批流程。
你别小看这个能力。
因为它解决的不是“Agent 会不会做事”,而是“Agent 在做事之前,用户还有没有最后控制权”。
这背后其实是一个非常关键的分水岭。
没有审批机制的 Agent,更像一个很猛的自动执行器。有审批机制的 Agent,才开始接近一个可以真正接入工作流的系统。
两者差别很大。
前者适合演示、适合体验、适合让人惊叹。后者才更有可能进入真实场景。
因为现实世界里的问题,从来都不是“会不会自动化”这么简单。现实世界更在意的是:
自动化能不能在该停的时候停。
三、为什么我会说,这比“又接一个模型”更重要?
因为模型接入,补的是能力上限。审批和拦截,补的是执行底线。
上限决定它看起来够不够强。底线决定它用起来敢不敢放手。
今天大家都在卷模型、卷多模态、卷工具、卷工作流。但如果一个 Agent 系统没有把高危动作审批、插件风险控制、工作区边界这些事情处理好,它越强,很多人反而越不敢真的把事情交给它。
这也是为什么,我会觉得 OpenClaw 3.28 这次最重要的信号,不是“又加了什么炫功能”。
而是:
它开始从“能执行”往“可控执行”走了。
这一小步,可能没有大模型升级那么容易被讨论。但它更接近 Agent 真正落地时的核心问题。
四、这次更新还有一个很值得一起看的背景:安全问题已经不是提醒,而是现实了
文章里还专门强调了恶意 Skills 和钓鱼镜像站的问题。
这一点,其实很值得重视。
很多人现在看 Skill,还是把它理解成一个比较轻的插件系统。但当 Skill 真能接文件、接命令、接网络、接工作流,它就不只是“插件”了。
它可能直接触达到:
本地文件 配置内容 工作目录 网络请求 长期记忆 更高权限的执行链路
这时候,风险就完全不是“装错了一个小工具”那么简单。
所以官方一直在强调 Skill Vetter,本质上不是在补一个附属能力。而是在补 Agent 生态真正往前走时,必须面对的那部分现实:
能力越开放,风险面就越大。
你可以把这理解成 Agent 世界里的权限治理和供应链安全。这类东西平时不显眼,但真正出问题的时候,影响往往比模型答错一句话大得多。
五、回头看 3.28,那些表层更新其实都在指向同一个方向
当然,这次功能更新本身也很多。
1)Grok 搜索内置
xAI 的网页搜索能力和工具配置被纳入主流程。这会让 OpenClaw 在搜索路径上的体验更顺。
2)MiniMax 画图接入
支持 image-01 的图像生成和编辑。这说明它在多模态执行这条线还在继续往前补。
3)当前聊天可直接绑定 ACP 工作区
这个变化其实也很关键。因为它让“聊天界面”更进一步靠近“工作入口”。
你把这些变化放在一起看,会发现 OpenClaw 现在做的事,已经不只是把一个聊天工具做得更好用了。
它在补的是一整套更像“Agent 执行平台”的能力骨架。
也正因为这样,审批、风险控制、插件治理这些事情,才会越来越重要。
因为一旦聊天入口开始直接通向执行入口,系统就不能只追求“更强”,而必须同时追求“更稳”。
六、我对 OpenClaw 3.28 的判断是:
这次真正值得关注的,不是功能爆更本身。而是 OpenClaw 开始更明确地往“可控的 Agent 执行系统”这条线上走了。
如果你只是把 Agent 理解成一个会说话、会调用点工具的聊天框,那你看到 3.28,大概率只会看到功能列表。
但如果你已经开始把 Agent 理解成一种会进入真实工作流的执行系统,你就会知道,真正重要的问题,从来不只是“它还能做什么”。
而是:
它怎么做 谁来批准 边界在哪 风险怎么拦 用户怎么把控制权拿回来
从这个角度看,3.28 的意义就不只是“更新很多”。而是它开始在回答一个更现实的问题:
当 Agent 真要替人做事的时候,我们怎么让它既有能力,又不失控。
这件事,可能没那么热闹。但它比大多数功能更新都更关键。
最后一句
这次 3.28,我最关注的不是 OpenClaw 又接了什么、又补了什么、又扩了什么。
我更关注的是:
它终于开始认真处理 Agent 落地里最难、也最绕不开的一部分。
不是让 Agent 更会做事。而是让 Agent 在做事的时候,依然处在人的控制之下。
这一步,才是真正接近可用的开始。
以上,
