夜雨聆风【导读】4 月 1 日,OpenClaw 发布 v2026.4.1——这次不是加功能,而是给长期运行的 AI 代理补上了最缺的三样东西:后台任务全程可见(/tasks)、定时任务按需发权限(cron --tools)、AWS Bedrock 原生合规护栏(Guardrails)。官方推文近1800 赞、26 万次浏览,社区的评价只有一句话:"Agent 终于开始像个生产系统了。" 然而,就在同一天,有用户报告升级后 exec 工具彻底失灵。修了 40 多个 bug 的版本,自己又踩了新坑——这才是 agent 基础设施最真实的战场。
你的 AI 代理,一直在"裸奔"
先问一个问题:你有没有让 AI 代理在后台跑过任务?
跑完之后呢?你知道它干了什么吗?
大多数人的答案是——不知道。任务发出去,像投进黑箱。成功了,你不知道过程;失败了,你连错在哪都不知道。
这就是 agent 领域一直存在的"裸奔"问题:你把一整台电脑的权限交给 AI,它却连一张收据都不给你留。
OpenClaw v2026.4.1,把这件事彻底改了。
▲ OpenClaw 官方发布推文,近 1800 赞、26 万次浏览。注意最后一句:"We're renaming to ClankerBot. This is not a joke. Okay it is."——4 月 1 号发版,官方也没忍住整活
/tasks:给你的代理装一台「行车记录仪」
这次更新里,讨论度最高的功能是/tasks。
用法极其简单:在聊天里直接输入 `/tasks`,你就能看到当前 session 关联的所有后台任务——运行状态、启动时间、耗时、进度、报错信息,全部一目了然。
官方 docs 是这么说的:
"Use /tasks in any chat session to see background tasks linked to that session…"
"When the current session has no visible linked tasks, /tasks falls back to agent-local task counts…"
「在任何聊天中输入 /tasks 即可查看关联的后台任务。当当前会话没有可见的关联任务时,/tasks 会回退到本地任务计数。」
注意后半句——当没有关联任务时,它不会暴露其他 session 的细节。这个隐私隔离设计,说明团队不是随便加了个列表,而是认真想过多 session 并发场景下的信息泄露问题。
那这个功能解决了什么痛点?社区的反馈比官方文档更直白。
DragAI 的说法最一针见血:
"/tasks is the receipt problem solved. Spent weeks building SQLite dedup as a manual receipt layer because agents kept finishing jobs with zero trace — every failure was blind debugging."
「/tasks 解决了收据问题。我花了好几周自己搭 SQLite 做手动回执层,因为代理程序完成任务后什么痕迹都不留——每次失败都是盲调。」
▲ DragAI:花了几周自建收据层,现在官方给做了
OneManSaas 更直接——"被代理坑过太多次了":
"The /tasks feature is clutch — I've been burned too many times by agents that run wild and leave no audit trail."
「/tasks 功能简直是救命的——我之前被那些跑飞了还不留审计记录的代理坑过太多次。」
▲ OneManSaas:被不留痕迹的代理坑怕了
AI Daily Pulse 说得更直接——"That changes how you debug long-running pipelines"(这改变了你调试长时间流水线的方式)。日本用户 @minoaimino 也反馈:任务发出去有时会"スン……"(嗖——然后没了),现在终于能看到后台列表了。
打个比方:以前让 agent 干活,就像派实习生出门办事,人出去了就失联。现在 /tasks 相当于给他配了个实时 GPS——在哪、干什么、干到哪了、出没出问题,你随时能看到。
cron --tools:每个定时任务,只发"临时工牌"
如果说 /tasks 解决的是"看得见",那cron per-job tool allowlists解决的是"管得住"。
之前 OpenClaw 的定时任务权限管理是全局的——你在 `openclaw.json` 里设一套策略,所有 cron job 共用。这意味着:写日报的 cron 和运维巡检的 cron,拿的是同一把钥匙。
v2026.4.1 加了 `--tools` 参数,让你可以给每个定时任务单独指定允许使用的工具:
```bash
openclaw cron add ... --tools web_fetch,write
openclaw cron add ... --tools exec,read
openclaw cron edit <jobId> --tools exec,read,write
openclaw cron edit <jobId> --clear-tools ```
TomGiant 把这个改动的意义讲得非常清楚:
"The approval popup on cron jobs is usually a global tool policy… The 2026.4.1 per-job tool allowlists fix exactly this — you can now scope per-cron instead of relying on globals."
「定时任务的审批弹窗通常来自全局工具策略……2026.4.1 的按任务工具白名单正好解决了这个问题——你现在可以按单个 cron 设定范围,而不用依赖全局策略。」
▲ TomGiant:终于不用靠全局策略一刀切了
Hex Agent 说得更狠:
"The gate isn't AI guessing what's dangerous, it's you scoping permissions upfront. Anything outside the allowlist triggers approval in Slack before it runs."
「这道门槛不是让 AI 猜什么操作危险,而是你提前划好权限范围。超出白名单的任何操作,运行前都会在 Slack 里触发审批。」
▲ Hex Agent:不是 AI 猜风险,是你先定边界
这就是把最小权限原则(Principle of Least Privilege)落到了每一个定时任务上。以前 agent 拿着的是"全能 root 钥匙卡",现在变成了"按工位发的临时工牌"——你去哪层楼、开哪扇门,出发前就定好了。
Bedrock Guardrails:合规这件事,从"靠 prompt 暗示"变成"平台级策略"
第三把锁是AWS Bedrock Guardrails。
如果你用 Amazon Bedrock 跑 Claude 或其他模型,现在可以直接在 OpenClaw 的 provider 配置里接入 Guardrails——内容过滤、话题禁止、PII 脱敏、上下文 grounding,全部由 AWS 侧原生执行。
配置很简单:在 `amazon-bedrock` 插件里加一个 `guardrail` 对象(指定 ID、版本、处理模式),IAM 权限加上 `bedrock:ApplyGuardrail`,Guardrails 就会在模型推理的输入和输出两端同时过滤。
这件事的意义在于:合规不再靠 system prompt 里写"请不要输出敏感信息"这种暗示了——它变成了 provider 层面的硬策略。配合前面的 tool allowlist,OpenClaw 现在有了"双层安全网":
- 外层
:Bedrock Guardrails 管住模型的输入输出(内容合规) - 内层
:cron --tools 管住代理的工具调用(权限合规)
对于受监管行业(金融、医疗、政务)来说,这可能是 OpenClaw 从"极客玩具"变成"可以上会汇报"的关键一步。
修了 40 多个 bug,但社区说:我升级后 exec 直接挂了
这一版还有一个不得不提的背景:官方说修了40 多个稳定性和 exec 修复。
Release notes 里密密麻麻列着各种修复:
`Exec/approvals`:修复安全默认值问题 `Exec/approvals`:让"永远允许"真正持久化为用户信任策略 `Exec/cron`:解决隔离 cron 的审批死路问题 以及 failover 重试上限、task registry 不再阻塞 gateway……
但就在同一天,GitHub Issue #59584 被提出来了。标题很直接:`ensureExplicitGatewayAuth rejects all connections`——翻译过来就是"升级后网关认证拒绝所有连接,exec 工具彻底不能用了"。
这算翻车吗?
说实话——这才是真实的 agent 基础设施现状。
当你的系统要同时处理权限审批、工具调用、多 provider failover、定时任务隔离、session 管理这些东西的时候,任何一个改动都可能在某个边缘配置上引发回归。官方修了 40 个 bug,但生产环境的复杂度远远超过测试矩阵能覆盖的范围。
这不是否定这次更新。恰恰相反——正因为 OpenClaw 开始做这些"脏活",它才会遇到这些"脏问题"。那些只做 demo 的 agent 框架,永远不会碰到 exec 审批死锁、cron 权限隔离这种现实世界的坑。
中文社区怎么看?
MarsDoge 的中文总结帖把这次更新的定位说得很准:
"这次更新的重点不只是新增功能,而是整体更像一个可长期运行的 agent platform 了。"
▲ MarsDoge:不只是新功能,而是整体更像一个可长期运行的 agent 平台了
ClawHost(托管服务商)跟进了一键升级,ASkill 的中文速报也帮读者快速抓住了重点——50+ 贡献者、40+ 新特性、30+ Bug 修复。这个版本的含金量,社区认的。
结语:Agent 基础设施,终于开始"做苦功"了
回头看 OpenClaw 这半年:从 2025 年 11 月的周末原型,到改名风波(Clawdbot → Moltbot → OpenClaw),到 GitHub 星标突破 25 万,再到今天——它终于开始认真做那些"不性感但救命"的基础设施了。
/tasks 让你看得见。cron --tools 让你管得住。Bedrock Guardrails 让合规不再是一句空话。
这三样东西加在一起,意味着一件事:AI 代理正在从"能干活"进化到"能被信任"。
而 Issue #59584 提醒我们的是——这条路还很长,每一步都会踩坑。但至少,OpenClaw 选择了正确的方向:先把锁装好,再谈自动化。
你的代理,现在会留收据了。
— END —
