OpenClaw v2026.4.9 核心更新解析

OpenClaw v2026.4.9 核心更新解析

Memory Dreaming/Provider Auth Aliases/Security Fixes

三大新能力 + 33 项问题修复，一文看懂最新版本变化

我是atyou, 今天教大家OpenClaw v2026.4.9 的 Memory Dreaming、Provider Auth、33项安全修复。

OpenClaw v2026.4.9 版本于2026年4月9日发布，这是自突破10万星以来的又一次重要更新。本次更新带来了 Memory Dreaming 重大改进、Provider Auth Aliases 新特性，以及33项问题修复。

今天我将深入解析这次更新的核心变化，特别是 Memory 系统的历史回填能力和新的认证机制，帮助你了解这些变化对实际使用的影响。

文章最后会总结升级注意事项和常见问题，帮助你平滑过渡到新版本。

— — — — — — — — — —

一、版本概览

v2026.4.9 是 OpenClaw 的重要里程碑版本，带来三大核心变化和33项修复。

Step 1更新规模

本次更新包含 5 项新功能（Changes）和 33 项问题修复（Fixes），是近几个月来修复最多的一次版本。

Step 2核心主题

本次更新的核心主题：

• Memory Dreaming 重大升级 — 历史记忆回填

• Provider Auth Aliases — 多实例共享认证

• 安全加固 — 33 项修复覆盖全模块

Step 3发布信息

版本信息：

发布版本: v2026.4.9

发布日期: 2026-04-09

下载量: DMG 346次 / ZIP 664次

发布者: steipete (Peter Steinberger)

— — — — — — — — — —

二、Memory Dreaming 重大升级

Memory 系统是 OpenClaw 的核心能力之一。v2026.4.9 带来了历史记忆回填功能，让旧的 daily notes 可以「复活」到 Dreams 中。

Step 1问题背景

在之前的版本中，Memory 系统存在「遗忘」问题：旧的 daily notes 无法自动进入 Dreams 和 durable memory，需要重新手动记录。

Step 2Grounded REM Backfill

新增的 grounded REM backfill 能力，通过历史 rem-harness 路径实现自动回填：

# 使用 rem-harness 进行历史回填

openclaw memory dream --path ~/.openclaw/diary/2025-12/

# 查看回填状态

openclaw memory status

Step 3Diary Commit/Reset Flows

新增的 diary commit 和 reset 流程，让你可以管理记忆生命周期：

# 提交当天记忆到 durable memory

openclaw diary commit

# 重置当天记忆（谨慎使用）

openclaw diary reset --force

Step 4Durable Fact Extraction

改进了 durable fact extraction 逻辑，从日记中提取更准确的事实：

Step 5Live Short-term Promotion

集成了 live short-term promotion，让短期记忆可以无缝升级为长期记忆：

— — — — — — — — — —

三、Control UI 日记视图升级

Control UI 新增了结构化的日记视图，让你可以直观地管理 Memory Dreaming。

Step 1Timeline 导航

新增的时间轴导航功能，支持按日期快速跳转到历史记录：

Step 2Backfill/Reset 控制

在 UI 中直接控制记忆回填和重置操作：

# UI 操作路径

Control UI → Dreams → Timeline → [Backfill] / [Reset]

Step 3Traceable Dreaming Summaries

每个 Dream 现在都有可追溯的摘要，便于理解记忆来源：

Step 4Grounded Scene Lane

新增的 grounded Scene lane，提供 promotion hints：

Step 5Safe Clear-grounded

新增的安全清除 grounded 功能，支持分阶段回填信号：

— — — — — — — — — —

四、Provider Auth Aliases 新特性

Provider Auth Aliases 允许 provider manifests 声明别名，让不同 provider 变体可以共享认证配置。

Step 1解决的问题

之前的痛点：不同 provider 变体（如 openrouter/anthropic 和 anthropic-claude）需要独立配置认证，导致：

• 重复的 API Key 配置

• 不一致的认证状态

• 维护成本高

Step 2实现方式

通过在 provider manifest 中声明 providerAuthAliases：

{

"provider":"anthropic",

"providerAuthAliases":["claude", "anthropic-api"],

"auth":{

"type":"api-key",

"envVar":"ANTHROPIC_API_KEY"

}

}

Step 3共享内容

别名化后可以共享的配置：

• 环境变量 (env vars)

• 认证 profiles

• 配置后认证

• API Key 引导

Step 4使用场景

典型使用场景：

• OpenRouter 多个模型实例共享同一认证

• 本地 Ollama 和云端 Ollama 共享配置

• 同一 API 的不同端点变体

— — — — — — — — — —

五、QA Lab 评估报告升级

QA 模块新增了 character-vibes 评估报告功能，让 Live QA 可以更快地比较候选行为。

Step 1模型选择

支持选择不同的模型进行评估对比：

# 选择评估模型

openclaw qa lab --model claude-sonnet-4

# 对比两个模型

openclaw qa lab --compare claude-sonnet-4 --vs claude-opus-4

Step 2并行运行

支持并行运行多个评估任务：

# 并行运行 3 个评估

openclaw qa lab --run-parallel --count 3

Step 3评估维度

vibes 评估关注的核心维度：

• 响应风格一致性

• 角色扮演准确性

• 交互流畅度

• 上下文保持能力

— — — — — — — — — —

六、33 项安全与问题修复

本次更新修复了33项问题，其中安全相关修复占比最高。

Step 1Browser/Security 修复

修复了交互驱动的主帧导航后的安全检查漏洞：

问题: 点击、evaluate、hook-triggered click 和 batched action flows

可能绕过SSRF 隔离到达禁止的 URL

解决: 在交互后重新运行 blocked-destination 安全检查

Step 2Security/Dotenv 修复

阻止不安全的运行时控制环境变量：

• 阻止 browser-control override 环境变量

• 跳过 server 环境变量

• 拒绝 unsafe URL 风格的浏览器控制覆盖

Step 3Gateway/Node Exec 修复

标记远程 node 事件为不可信，防止注入：

• exec.started / exec.finished / exec.denied 标记为 untrusted

• 清理 node 提供的 command/output/reason 文本

防止远程输出注入 System: 内容

Step 4依赖安全更新

强制升级了以下依赖：

• basic-ftp → 5.2.1 (CRLF 命令注入修复)

• Hono → 生产路径更新

@hono/node-server → 生产路径更新

Step 5其他重要修复

值得注意的其他修复：

• Android/pairing: 修复扫描配对可靠性

• Matrix/gateway: 改进 sync 稳定性

• Slack/media: 保留 bearer auth 跨同源重定向

• Gateway/chat: 修复 ANNOUNCE_SKIP 泄露问题

• Providers/Ollama: 支持 thinking 输出显示

— — — — — — — — — —

七、iOS 版本管理改进

iOS 版本管理现在使用显式 CalVer（日历版本），并提供了版本固定工作流。

Step 1CalVer 版本

版本号现在存储在 apps/ios/version.json：

{

"version":"2026.4.9",

"build":"20260409",

"gateway":"2026.4"

}

Step 2版本固定工作流

新增的发布工作流：

# 从 gateway 版本固定 iOS 版本

pnpm ios:version:pin -- --from-gateway

— — — — — — — — — —

八、升级指南与注意事项

升级到 v2026.4.9 需要注意以下几点。

Step 1前置条件

升级前检查：

• Node.js 版本 ≥ 22

• 至少 2GB 可用磁盘空间

• 建议备份现有配置

Step 2升级命令

标准升级流程：

# 停止网关

openclaw gateway stop

# 升级 OpenClaw

openclaw update

# 重启网关

openclaw gateway start

Step 3回滚方案

如果遇到问题，回滚到上一版本：

# 查看可用版本

openclaw releases

# 回滚到上一版本

openclaw update --to v2026.4.8

Step 4配置迁移

大部分配置自动迁移，以下情况需要手动处理：

• 自定义 provider 配置需要检查 authAliases 兼容性

• Matrix 旧配置会自动迁移 (channels.matrix.dm.policy)

• Android 配对需要重新扫描 QR code

— — — — — — — — — —

十二、常见问题与排错

1. Memory Dreaming 回填会影响性能吗？

回填操作在后台异步执行，不会阻塞正常对话。建议在低峰期进行大批量回填。

2. Provider Auth Aliases 支持多少个别名？

理论上无限制，但建议控制在 5 个以内以保持配置可读性。

3. basic-ftp 升级会影响现有 FTP 功能吗？

不会。5.2.1 版本修复了安全漏洞但保持 API 兼容性，现有功能不受影响。

4. Ollama 的 thinking 输出在哪里显示？

需要在配置中设置 /think 为非 off 级别，如 /think: medium。输出会显示在响应之前。

5. 如何检查当前版本？

运行 openclaw version 或访问 Control UI 的 About 页面。

6. 升级后需要重启所有节点吗？

是的，建议重启所有连接的节点（iOS、Android）以确保协议兼容性。

7. Matrix 迁移失败的常见原因是什么？

通常是旧配置格式不完整或 DM policy 设置为不兼容的值。运行 openclaw doctor --fix 可自动修复。

8. Slack media 认证问题是否完全修复？

已修复同源重定向问题。跨域 CDN 仍会正确剥离认证，这是安全设计。

— — — — — — — — — —

十三、安全建议

•始终使用强 API Key，定期轮换

•不要在 .env 文件中存储运行时控制变量

•定期运行 openclaw doctor 检查安全配置

•关注安全公告，及时升级依赖

•生产环境使用 provider allowlist 限制可用模型

— — — — — — — — — —

总结

v2026.4.9 是 OpenClaw 的重要更新，引入了 Memory Dreaming 历史回填、Provider Auth Aliases、33项修复等关键改进。

关键要点回顾：

•Memory Dreaming新增 grounded REM backfill，支持历史记忆回填

•Diary 流程新增 commit/reset 流程，管理记忆生命周期

•Provider Auth支持别名化，简化多实例认证配置

•QA Lab新增 character-vibes 评估报告

•iOS 版本使用 CalVer，版本固定工作流

•安全修复33 项修复，包括 SSRF、dotenv、node exec 等

— — — — — — — — — —

我是atyou, 您有什么感兴趣的主题，可以给我留言。让我们一起拥抱AI, 共同进步，享受美好生活。

参考文档：

•OpenClaw GitHub 仓库

•v2026.4.9 Release Notes

•OpenClaw 官方文档

•Memory Dreaming 详解

•Provider Auth 配置指南