夜雨聆风OpenClaw 2026.4.9 更新详情
新功能
1. Memory/Dreaming 增强
新增 rem-harness --path 支持历史回填
日记 commit/reset 流程
旧日志可重放到 Dreams 和持久记忆
2. Control UI/Dreaming
结构化日记视图 + 时间线导航
回填/重置控制
可追踪的 dreaming 摘要
3. QA/Lab
新增 character-vibes 评估报告,支持模型选择和并行运行
4. Provider Auth
支持 providerAuthAliases,provider 变体可共享 env vars 和认证配置
5. iOS
版本号绑定到 apps/ios/version.json,TestFlight 迭代更可控
🔒 安全修复(重要!)
修复 | 风险等级 |
|---|---|
Browser SSRF: 交互驱动的导航后重新检查 blocked-destination,防止绕过 SSRF 隔离 | 🔴 高 |
.env 安全: 阻止 workspace .env 文件覆盖运行时控制变量和浏览器配置 | 🔴 高 |
Node exec 注入: 清理远程节点返回的命令/输出文本,防止注入 System 内容 | 🟡 中 |
Plugin auth 碰撞: 防止 workspace 插件冒充 bundled provider 的 auth-choice | 🟡 中 |
basic-ftp CRLF 注入: 强制升级到 5.2.1 | 🔴 高 |
🐛 Bug 修复
问题 | 影响 |
|---|---|
Android 配对:清除过期 setup-code,后台暂停重试 | Android 用户 |
Matrix:等待同步就绪后再标记启动成功,避免崩溃 | Matrix 用户 |
Slack 图片:修复 bearer auth 丢失导致图片加载失败 | Slack 用户 |
openclaw doctor: 显示精确的 reauth 命令 | 所有用户 |
NO_REPLY 泄露:阻止控制 token 暴露给用户 | 所有用户 |
/reset 和 /new: 正确清除自动 fallback 的模型覆盖 | 所有用户 |
Ollama:支持 thinking 输出 | Ollama 用户 |
Codex CLI:传递 OpenClaw 的 system prompt | Codex 用户 |
LLM idle timeout:继承 agents.defaults.timeoutSeconds | 所有用户 |
⚠️ 升级风险评估
低风险,这是一个稳定版本,主要是增强和修复。升级前建议:
# 1. 查看当前配置健康状态openclaw doctor# 2. 升级npm install -g openclaw@latest# 3. 重启 gatewayopenclaw gateway restart# 4. 再次检查openclaw doctor --fix
需要特别关注的情况:
使用 .env 文件配置浏览器控制变量 → 升级后会被忽略,需迁移到 openclaw.json
Matrix 用户 → 升级后启动更稳定
Android 配对问题 → 这次修复了,如果之前配对困难,升级后重试
