夜雨聆风OpenClaw 在 2026.4.9 这次更新里,把很多人爱玩的那句“your agent now dreams about you”从梗图,落成了一套可追踪、可回滚、可重置的工程管线:历史日记可以按路径回放进 Dreaming(REM backfill),回补过程有 commit/reset,界面上还能沿时间线导航和复盘。同时它还把两个常见的安全大坑补到了更难绕过的位置,交互触发的主框架跳转也会重新跑 SSRF 隔离检查,远程 node exec 的输出也会被消毒,避免“System:”注入污染后续对话。
▲ 官方推文把这次更新的关键词说得很直白,“Dreaming: REM backfill + diary timeline UI,SSRF + node exec injection hardening”,5 万多人围观。
OpenClaw 这次“做梦”,到底更新了什么
官方在发布摘要里列了 4 条主线:
Dreaming: REM backfill + diary timeline UI SSRF + node exec injection hardening Character-vibes QA evals Android pairing overhaul
真正值得盯紧的,是前两条。
1) REM 回补,把“旧日记”变成 grounded 的 Dream lane
GitHub release notes 把 Dreaming 讲得非常工程化(节选):
"Memory/dreaming: add a grounded REM backfill lane with historical rem-harness --path, diary commit/reset flows, cleaner durable-fact extraction, and ... so old daily notes can replay into Dreams and durable memory without a second memory stack."
「中文翻译:记忆与做梦模块新增 grounded 的 REM 回补通道,可以用历史 rem-harness --path 把旧日记回放进 Dreams 和 durable memory。回补过程配套 diary 的 commit/reset 流程,同时把 durable-fact 抽取做得更干净,并且避免再叠一套新的记忆栈。」
这里有两个关键词,直接决定它是不是“可控的做梦”。
- grounded
:输入源头是你的历史日记和笔记,沿着路径喂进去,有迹可循。 - commit/reset
:回补不是一次性写死,你可以提交,也可以撤销和重置,避免“自动写记忆”越滚越大。
换句话说,它给 Dreaming 加了一条“回放旧人生”的车道,同时把刹车和回档也装上了。
2) 日记时间线 UI,把回补过程变成可视化操作
这次 UI 侧的描述同样直给(节选):
"Control UI/dreaming: add a structured diary view with timeline navigation, commit/reset controls, traceable dreaming summaries ..."
「中文翻译:控制台新增结构化日记视图与时间线导航,提供回补的 commit/reset 控件,并让 dreaming summaries 可追踪。」
这点很关键,因为记忆系统最怕两件事。
看不见它到底吃了什么,怎么总结的。 出错了也回不去,只能继续堆。
把“时间线 + 可追踪摘要 + 重置按钮”做进 UI,本质上是把记忆系统从黑箱,往“可审计的流程面板”推了一大步。
3) SSRF 加固,交互触发的跳转也要再跑隔离检查
很多产品的 SSRF 防护,会盯住“第一次请求”,真实绕过往往发生在用户点一下,脚本跳一下,或者一串自动化动作之后。
这次 OpenClaw 的修复点名了交互路径(节选):
"Browser/security: re-run blocked-destination safety checks after interaction-driven main-frame navigations ... so browser interactions cannot bypass the SSRF quarantine when they land on forbidden URLs."
「中文翻译:浏览器安全会在交互驱动的主框架导航之后,重新执行被阻止目的地的安全检查,确保点击等交互不会在落到被禁止 URL 时绕过 SSRF 隔离。」
这类补丁的传播价值在于,它把“隔离”从入口条件,变成全链路约束。你可以理解为,浏览器执行动作这条路,终于被当成同样危险的入口来对待。
4) node exec 注入硬化,堵住“System:”污染后续对话
在多端节点和内容工厂场景里,远程命令的输出经常会被拼进后续上下文。一旦把不可信文本当成可信系统指令,后果通常很难收拾。
GitHub release notes 里也把这个点写得很直白(节选):
"... sanitize node-provided command/output/reason text ... so remote node output cannot inject trusted System: content into later turns."
「中文翻译:会对节点提供的命令与输出等文本做消毒,避免远程节点输出把可信的 System 内容注入到后续对话。」
这类修复听起来“很底层”,实际影响非常上层,因为它直接切断了 prompt injection 借壳的路径。
“dream” 是不是 hallucination 的委婉说法?社区一句话戳中痛点
社区里有人直接回了一句(原文):
"Is "dream" a euphemism for hallucination?"
「中文翻译:所谓 dream,会不会只是 hallucination 的委婉说法?」
▲ 反方的质疑很真实,因为大多数“会做梦的 AI”最后都回到同一个问题,能不能被验证,能不能被回滚。
OpenClaw 这次给出的答案,不在口号里,而在机制里。
回补 lane 是 grounded 的,输入来自历史日记路径。 过程有 commit/reset,允许撤销与重置。 摘要可追踪,还把时间线操作做进 UI。
这套组合拳,至少让“梦”从玄学叙事,变成工程化流程。
结语
“your agent now dreams about you. romantic or terrifying? yes.”这句发布文案很好传播,但更值得记住的,是它背后的硬工程:可追踪的 REM 回补,可视化的日记时间线,以及更难被绕过的 SSRF 与注入防线。
当 AI agent 开始长期陪伴用户,记忆系统和安全边界就会成为真正的产品底盘。OpenClaw 这次更新,算是把底盘往前推了一大截。
(完)
