夜雨聆风摘要:OpenClaw v2026.4.2 正式发布!本次更新重磅恢复核心 Task Flow 编排系统,新增 Android 助手入口、Feishu 评论协作流,并带来 30+ 项安全修复和稳定性改进。
🔥 今日头条
1. Task Flow 核心编排系统回归
核心更新:恢复并增强 Task Flow 底层编排系统,支持托管/镜像双同步模式、持久化流状态和版本追踪。
托管子任务:外部编排器可立即停止调度,让父 Task Flow 等待活跃子任务完成后优雅取消 插件 API:新增 api.runtime.taskFlow接口,插件可直接创建和驱动托管 Task Flow运维能力:支持 openclaw flows检查/恢复原语,后台编排可独立于插件层运行
2. Android 助手入口上线
新功能:Android 设备可通过 Google Assistant 直接触发 OpenClaw!
添加 assistant-role 入口点 集成 Google Assistant App Actions 元数据 支持从语音助手直接跳转至聊天输入框
3. Feishu 评论协作流
新工作流:专为飞书文档评论设计的事件处理流程
评论线程上下文解析 线程内回复支持 feishu_drive评论动作集成
🏗️ 架构升级
配置路径标准化
Breaking Changes(需用 openclaw doctor --fix 迁移):
| 插件 | 旧路径 | 新路径 |
|---|---|---|
| xAI 搜索 | tools.web.x_search.* |
plugins.entries.xai.config.xSearch.* |
| Firecrawl | tools.web.fetch.firecrawl.* |
plugins.entries.firecrawl.config.webFetch.* |
认证统一:xAI 搜索认证统一为 plugins.entries.xai.config.webSearch.apiKey / XAI_API_KEY
Provider 传输策略集中化
安全加固:集中管理请求认证、代理、TLS 和头部整形
阻止不安全的 TLS/运行时传输覆盖 代理跳点 TLS 与目标 mTLS 设置分离 统一 OpenAI 兼容、Anthropic、Copilot 等路由策略
🛠️ 渠道增强
飞书 (Feishu)
✅ 评论事件流:文档评论线程解析 + 线程内回复 ✅ 会话路由:保留 Telegram 主题路由和飞书作用域继承 ✅ 评论动作: feishu_drive支持文档协作工作流
✅ 反应指导:新增 reactionLevel指导代理反应行为✅ 在线状态:自聊模式发送 unavailable在线状态,避免推送丢失✅ 媒体类型:添加 HTML、XML、CSS MIME 映射
Matrix
✅ 提及元数据:发送 m.mentions元数据,Element 等客户端通知更可靠✅ 流式传输:保留实时部分预览,同时保持完整块更新为独立消息 ✅ 入门引导:恢复 openclaw channels add引导式设置
Slack
✅ mrkdwn 格式:内置 Slack mrkdwn 指导,避免 Markdown 渲染问题 ✅ 线程上下文:按有效会话白名单过滤线程发起者和历史
MS Teams
✅ 流式传输:超过 4000 字符限制时去除已流式文本,避免内容重复 ✅ 日志格式:非 Error 失败使用共享未知错误助手,避免 [object Object]
🔒 安全修复精选
Exec 执行安全
| 修复项 | 影响 |
|---|---|
| 环境覆盖阻断 | 阻止包根、语言运行时、编译器包含路径、凭证/配置位置的主机环境覆盖 |
| 工作区.env 限制 | 阻止 .env 文件覆盖 OPENCLAW_PINNED_PYTHON 等可信解释器 |
| 审批配置清理 | 归一化时移除 ~/.openclaw/exec-approvals.json 中的无效值 |
| Windows 白名单 | 恢复带引号感知 argPattern 匹配的白名单执行 |
Provider 路由安全
GitHub Copilot:分类原生 API 主机,强化令牌派生代理端点解析 Anthropic:集中原生/代理端点分类,防止伪造主机继承原生默认值 OpenAI 兼容:集中策略,隐藏归属和相关默认值仅适用于验证的原生端点 图像生成:通过共享 Provider HTTP 传输路径路由 OpenAI、MiniMax、fal 请求
会话与审批
会话 Kill:对会话 Kill 请求执行 HTTP 操作员作用域,未经身份验证的调用者无法探测会话存在 子代理:管理员专用子代理网关调用固定到 operator.admin,避免配对失败Telegram 审批:重写回调负载以适应 Telegram callback_data限制,保持"允许始终"按钮可见
🐛 关键 Bug 修复
浏览器自动化
CDP 连接:规范化尾随点 localhost 绝对形式主机,支持远程 CDP websocket URL 主机检查:静态 Chrome 检查助手不激活浏览器运行时,避免捆绑插件预加载
插件系统
激活状态:保留显式/自动启用/默认激活来源和原因元数据 LINE/浏览器:即使插件禁用也保持 LINE 回复指令和浏览器支持清理/重置流工作 JSON5 支持: openclaw.plugin.json接受 JSON5 语法(尾随逗号、注释、未引用键)
ACP 网关
重连:瞬态 websocket 掉线时保持 ACP 提示活跃 过期拒绝:重连宽限期后拒绝过期的预确认 ACP 提示,避免无限挂起
其他修复
Kimi Coding:标准化 Anthropic 工具负载为 OpenAI 兼容函数形状 图像路径:相对本地媒体路径相对于 workspaceDir而非process.cwd()解析Podman:移除脚本中的嘈杂容器输出,对齐更安静的启动流 Webhook 密钥:用共享 safeEqualSecret助手替换临时密钥比较Cron 超时:即使 verbose: off也显示定时执行和 bash 失败
📊 更新统计
| 类别 | 数量 |
|---|---|
| Breaking Changes | 2 |
| 新功能/变更 | 12 |
| Bug 修复 | 35+ |
| 贡献者 | 20+ |
🚀 升级指南
快速升级
# 更新 OpenClaw
npm update -g openclaw
# 迁移配置(重要!)
openclaw doctor --fix
# 验证安装
openclaw status
配置迁移
运行 openclaw doctor --fix 自动迁移:
xAI 搜索配置路径 Firecrawl web_fetch 配置路径
注意事项
Breaking Changes:xAI 和 Firecrawl 配置路径已变更,需运行 doctor --fix迁移Exec 默认:网关/节点主机执行现在默认为 YOLO 模式( security=full+ask=off)安全加固:多项传输和路由安全修复,建议尽快升级
📝 完整更新日志
详见 GitHub Release: https://github.com/openclaw/openclaw/releases/tag/v2026.4.2[1]
版本:v2026.4.2
发布日期:2026-04-03
贡献者:@vincentkoc, @mbelinky, @obviyus, @jalehman, @JoshuaLelon, @wittam-01, @gumadeiras, @oliviareid-svg, @oguricap0327, @mcaxtr, @openperf, @jadewon, @bobbyt74, @BradGroux, @jacobtomlinson, @mappel-nv, @sallyom, @eleqtrizit, @drobison00, @singleGanghood, @jameslcowan, @seonang, @Starhappysh, @joelnishanth, @skainguyen1412 等 20+ 贡献者
关注 OpenClaw 生态进展,获取最新 AI 助手技术动态
引用链接
[1]https://github.com/openclaw/openclaw/releases/tag/v2026.4.2
