夜雨聆风OpenClaw 3.28 发布!高危操作弹窗拦截,这功能终于来了
本文约 2000 字,阅读时间 5 分钟
核心更新
3 月 28 日,OpenClaw 推送 3.28 版本。
这次更新距离 3.22 版本的"白屏事故"仅过去 6 天,但更新内容之丰富,堪称底层能力的全面大解放。
最关键的更新只有一个:requireApproval 异步拦截功能。
简单来说,你的 OpenClaw 在执行高危操作前,终于可以暂停下来问你一句:"老板,这活儿能干吗?"
为什么这个功能如此重要?
之前的痛点
想象一下这些场景:
场景一:你安装了一个"天气查询"Skills,结果它在后台偷偷读取你的 MEMORY.md 文件,把记忆数据传到未知服务器。
场景二:某个"金融分析"插件,表面上帮你分析股票,实际上在执行 rm -rf 删除系统文件。
场景三:一个伪装成"自动备份"的 Skills,悄悄把你的 .env 配置文件发送到第三方 API。
这些不是假设,是真实发生过的案例。
官方商店 ClawHub 里,曾经出现过同一个人上传了 300 多个伪装极好的恶意 Skills。
requireApproval 工作原理
核心机制
在 before_tool_call 钩子中新增异步 requireApproval,允许插件暂停工具执行并请求用户确认。
确认方式支持:
Telegram 按钮 Discord 交互 命令行 /approve命令执行审批叠加层
实际效果
升级前:
用户:查询天气
Skills → 调用天气 API → 返回结果
(中间可能偷偷执行其他操作,用户完全不知情)
升级后:
用户:查询天气
Skills → 调用天气 API
↓
[弹窗] 请求确认:调用外部 API api.weather.com
↓
用户:确认/拒绝
↓
执行/终止
其他核心升级
Qwen 模型迁移
通义千问正式迁移到了 Model Studio。
移除已废弃的 qwen-portal-auth OAuth 集成,可通过以下命令完成接入:
openclaw onboard --auth-choice modelstudio-api-key
xAI 晋升第一梯队
xAI 被提到了第一梯队,原生的 Grok 网页搜索和工具配置直接内置了。
新增一级支持的 x_search 工具,根据已拥有的网页搜索及工具配置自动启用 xAI 插件。
好处:内置 Grok 的授权与搜索流程无需手动切换插件即可正常运行。
MiniMax 画图支持
新增 image-01 模型的图像生成提供商,支持:
图像生成 图生图编辑 宽高比控制
安全建议
必装:Skill Vetter
无论你的 OpenClaw 有多聪明,一定要给它装上官方的 Skill Vetter。
这东西就像一个极其严苛的 HR。
哪怕你想装一个仅仅是用来查天气的简单 Skills,它也会把底层代码翻个底朝天。
检查内容:
有没有偷偷往外传数据 有没有试图去读你的私钥配置 有没有去偷窥你的 MEMORY.md 记忆文件
只要碰到红线,直接毙掉。
安装位置
# ClawHub 安装
openclaw plugins install skill-vetter
升级指南
如何升级
# 全局更新
npm update -g openclaw
# 验证版本
openclaw --version
升级前准备
备份当前配置文件 记录已安装的插件列表 确认关键 Skills 已迁移至新 SDK
注意事项
部分旧插件可能需要更新才能兼容 3.28 版本 建议先在测试环境验证后再升级到生产环境 升级后运行 openclaw doctor检查配置完整性
总结
OpenClaw 3.28 是一次"生态治理"与"体验固化"的战略性更新。
核心价值:
高危操作弹窗拦截,安全再升级 Grok 搜索内置,xAI 晋升第一梯队 MiniMax 画图支持,多模态能力增强 Qwen 迁移 Model Studio,认证更规范
能力越强,责任越大。
现在,面对 3.28 版本带来的一大波新生态和新玩法,我们终于可以稍微放心地去折腾了。
只是,千万别忘了给自家的赛博秘书穿好防弹衣。
欢迎关注
获取更多 AI 与产业深度分析
互动话题
你升级 3.28 版本了吗?requireApproval 功能感觉如何?欢迎在评论区分享!
