OpenClaw 每日更新 | 3 月 31 日 - 4 月 1 日：安全加固、性能优化、渠道修复、测试稳定性

“

大家好，我是程序员虎哥，跟踪学习、不定期同步以 OpenClaw 为代表的 Agent 技术。技术发展应该为劳动者减负，而不应该增加焦虑和内耗~

📊 概览

统计周期：2026 年 3 月 31 日 00:00 - 4 月 1 日 23:59（Asia/Shanghai）

核心数据：

• Commits 总数：约 350+ 条
• 贡献者：30+ 位
• 主要方向：安全加固、性能优化、渠道修复、测试稳定性

版本动态：

• 2026.3.31 稳定版发布（3 月 31 日）
• 2026.4.1-beta.1 测试版发布（4 月 1 日）

🔥 重点更新

1. 安全加固系列（Security Hardening）

多位贡献者集中修复了多个安全相关问题：

执行审批安全：

• fix(exec): detect command carriers in strict inline eval (#57842)
• fix(exec): block risky host env overrides (#58209)
• fix(exec): unwrap transparent approval wrappers (#58215)
• Security: block exec approval shell carrier targets (#57871)

插件安装安全：

• feat(plugins): add dangerous unsafe install override
• feat(security): fail closed on dangerous skill installs
• fix(plugins): guard marketplace archive downloads (#58267)
• fix(skills): replace readFileSync with symlink-safe, root-confined skill file loader (#57519)

媒体安全：

• fix(media): drop auth headers on cross-origin redirects (#58224)
• fix(media): reject oversized image inputs before decode (#58226)
• Media: secure image temp dirs (#58270)
• fix(tlon): cap inbound image downloads (#58223)

网关安全：

• fix(gateway): enforce trusted-proxy HTTP origin checks (#58229)
• fix(gateway): revoke active sessions on token rotation (#57646)
• Infra: block auth env vars from workspace dotenv (#57767)
• fix(gateway): tighten tools invoke HTTP guardrails (#57771)

2. 渠道修复（Channel Fixes）

Telegram：

• fix(telegram): restore forum-topic routing (#56060) - 修复论坛主题路由
• fix(telegram): lazy-load sticker vision model lookup - 贴纸视觉模型懒加载
• fix(telegram): keep test harness CJS-safe - 测试 harness 兼容性

Discord：

• fix(discord): restore component custom id barrel exports - 组件自定义 ID 导出
• fix(discord): avoid duplicate component id exports - 避免重复导出
• fix(discord): gate voice ingress by allowlists (#58245) - 语音入口白名单

WhatsApp：

• fix(whatsapp): restore runtime send and action seam - 恢复运行时发送
• feat(whatsapp): add reaction guidance levels (#58622) - 反应指导级别
• fix(whatsapp): pass Timestamp to finalizeInboundContext (#58590)

Slack：

• feat(slack): add native exec approvals (#58155) - 原生执行审批
• fix(slack): restore plugin approval auth - 恢复插件审批认证
• fix(slack): accept bare approve fallback - 接受简易审批回退

Matrix：

• fix(matrix): tighten DM invite promotion state (#58099) - DM 邀请状态
• fix(matrix): filter fetched room context by sender allowlist (#58376) - 发送者白名单
• feat(matrix): thread-isolated sessions and per-chat-type threadReplies (#57995) - 线程隔离会话

飞书（Feishu）：

• feat: feishu comment event (#58497) - 评论事件支持
• fix(feishu): filter fetched group thread context (#58237) - 群聊上下文过滤

QQ Bot（新增渠道）：

• Feature/add qq channel (#52986) - QQ 频道支持
• fix(qqbot): require explicit allowlist for /bot-logs - 机器人日志白名单
• fix(qqbot): declare silk-wasm codec types - 编解码器类型声明

3. 性能优化（Performance）

测试性能：

• 大量 perf(test) 提交，优化测试导入和模块加载
• test: speed up cli and command suites - 加速 CLI 测试
• test: speed up core runtime suites - 加速运行时测试
• test: speed up extension suites - 加速扩展测试

渠道性能：

• perf(whatsapp): narrow reply chunking imports - 缩小回复分块导入
• perf(slack): avoid broad send barrel in webhook activity test - 避免宽泛发送
• perf(telegram): narrow native command import surface - 缩小命令导入面
• perf(discord): lazy-load discord reply runtime - 懒加载回复运行时

内存优化：

• fix(memory): stagger qmd embed maintenance across agents (#58180) - 错开 QMD 嵌入维护
• fix(memory): preserve qmd query semantics and collection recovery (#58183) - 保持查询语义

4. 测试稳定性（CI Stability）

Windows CI 修复：

• test: stabilize windows registry cleanup flows
• test: stabilize windows task registry and exec timeouts
• test: stabilize remaining windows ci timeouts
• test: harden windows timeout-sensitive suites

跨平台修复：

• fix(ci): restore matrix monitor import guards and windows npm exit codes
• fix(ci): handle missing native command capabilities
• fix(ci): regenerate mac host env policy

测试隔离：

• test: isolate browser navigation tests from host proxy env
• test: avoid suite gateway hooks in channel mcp
• test: isolate browser snapshot navigation from proxy env

5. 任务系统（Tasks/Flows）

任务注册表：

• refactor(tasks): add owner-key task access boundaries (#58516)
• fix(tasks): make task-store writes atomic (#58521)
• fix(tasks): recheck current state during maintenance sweep
• fix(tasks): prevent synchronous task registry sweep from blocking event loop

ClawFlow（新特性）：

• ClawFlow: add linear flow control surface (#58227)
• ClawFlow: add runtime substrate (#58336)
• Tasks: add blocked flow retry state (#58204)
• Tasks: route one-task emergence through parent flows (#57874)

状态展示：

• feat(status): show session task counts in slash status
• fix(status): filter stale task rows from status cards (#58810)
• fix(status): show agent-local task counts when session tasks are empty

6. 认证与授权（Auth & Approval）

OAuth 改进：

• fix(auth): persist codex oauth refresh tokens
• fix(auth-profiles): ensure credential key and token are strings to prevent crash
• fix(gateway): restore shared-secret HTTP tool invoke auth

审批流程：

• fix(exec): resume agent session after approval completion
• test(exec): cover delayed Discord approval continuation
• fix(approvals): suppress manual native approval narration
• fix(approvals): restore native DM approval behavior

权限模式：

• refactor: unify failover signal classification
• fix(agents): normalize provider errors for better failover
• fix: preserve anthropic thinking replay (#58916)

7. 文档与配置（Docs & Config）

文档更新：

• docs: fill changelog gaps since last release
• docs: update qq bot channel docs
• docs: add Related sections to 10 concept pages
• docs: fix THREAT-MODEL-ATLAS pairing TTLs and invalid file paths

配置参考：

• docs: cover cron --tools flag for per-job tool allow-list
• docs: add gateway.webchat.chatHistoryMaxChars config reference
• docs: add WhatsApp reactionLevel and Feishu Drive comment actions
• docs: cover unreleased feature gaps

Changelog：

• docs(changelog): note discord and telegram approval UX fixes
• docs(changelog): note status followups
• docs(changelog): note pi tui reply flush fix
• docs(changelog): add missing thanks

👥 活跃贡献者

Top Contributors（按提交数）：

新贡献者：

• @tomsun28 - ZAI GLM-5.1 和 GLM-5V Turbo 支持
• @neeravmakwana - 队列所有者会话修复
• @chinar-amrutkar - Telegram 错误抑制控制
• @jzakirov - Telegram 本地 Bot API MIME 类型

📦 版本发布

2026.3.31（稳定版）

发布日期：2026 年 3 月 31 日

关键修复：

• Telegram 论坛主题路由修复
• Discord 组件自定义 ID 导出
• WhatsApp 运行时发送修复
• 执行审批安全加固
• 媒体下载安全限制

升级建议：所有生产环境用户

2026.4.1-beta.1（测试版）

发布日期：2026 年 4 月 1 日

新特性：

• ClawFlow 线性流程控制
• QQ Bot 渠道支持
• Slack 原生执行审批
• Matrix 线程隔离会话

测试建议：开发环境和测试环境

🔧 配置变更

新增配置项

{"gateway":{"webchat":{"chatHistoryMaxChars":12000// 新增：聊天历史最大字符数}},"agents":{"defaults":{"params":{}// 新增：全局默认 provider 参数}},"cron":{"tools":["read_file","write_file"]// 新增：每个任务的工具白名单}}

废弃配置项

• telegram.groupMentionsOnly → 已迁移
• web-search 配置 → 需通过 openclaw doctor --generate-gateway-token 迁移

🐛 已知问题

待修复

1. Windows Gateway 升级：某些情况下需要手动停止旧网关
2. Android 配对：bootstrap token 可能过期，需重新配对
3. Node 配对：Tailscale 环境下可能需要额外配置

临时解决方案

# Windows Gateway 重启openclaw gateway restart# 或手动重启taskkill /f /im openclaw-gateway.exenohup openclaw gateway run --bind loopback --port18789--force

📈 趋势分析

代码质量

• 测试覆盖率：持续提升，特别是渠道和扩展测试
• 类型安全：更多运行时契约转为 TypeScript 类型
• 文档完整性：配置参考、安全模型、威胁模型持续完善

安全态势

• 执行审批：多层防护，防止命令注入
• 插件安装：危险安装需要显式确认
• 媒体处理：跨域重定向时丢弃敏感头信息

性能表现

• 启动时间：CLI 启动优化，减少模块重置
• 内存占用：测试 harness 优化，减少导入开销
• CI 稳定性：Windows 超时问题大幅改善

🎯 下期展望

即将发布

• 2026.4.1 稳定版：预计 4 月 3-5 日发布
• ClawFlow 正式版：任务流程编排系统
• QQ Bot 完整支持：包括群聊、私聊、频道

路线图

1. Q2 2026：更多渠道原生支持
2. Q3 2026：Agent 团队协作功能
3. Q4 2026：企业级部署和管理工具

🔗 相关链接

• OpenClaw GitHub: https://github.com/openclaw/openclaw^[1]
• 官方文档: https://docs.openclaw.ai^[2]
• Discord 社区: https://discord.gg/clawd^[3]
• 版本发布: https://github.com/openclaw/openclaw/releases^[4]

明日预告：Rust 版 Claude Code (Claw Code) 实测文章，包含国内 Coding Plan 接入完整教程！

感谢所有 OpenClaw 贡献者的辛勤工作！ 🐯

统计说明：本文基于 git log 自动生成初稿，经人工校对和分类。时间范围为 Asia/Shanghai 时区。

引用链接