OpenClaw v2026.4.14 发布

OpenClaw v2026.4.14 发布

GPT-5.4 全面支持 / 50+ 修复 / 安全加固 / 性能优化

Telegram话题名称学习 / Ollama超时修复 / Slack安全策略 / Markdown解析安全

我是atyou, 今天教大家OpenClaw 2026年4月重大版本深度解读。

2026年4月14日，OpenClaw 正式发布了 v2026.4.14 版本。这是一个重要的质量发布，专注于模型提供商支持改进（包括 GPT-5 家族的显式轮次改进）以及频道提供商问题修复。同时，团队还对底层核心代码库进行了重构，整体性能得到显著提升。

本次更新带来了 50+ 个 bug 修复、功能优化和安全加固。特别是对 GPT-5.4-pro 的前瞻性支持、Telegram 论坛话题名称学习、以及多项安全修复值得关注。

本文将深度解读这次更新的核心亮点，帮助你全面了解这些改进如何提升你的 AI 助手体验。

— — — — — — — — — —

一、GPT-5.4 前瞻性支持

本次更新最重要的新特性是对 GPT-5.4 系列的全面支持，包括前瞻性兼容性适配。

Step 1gpt-5.4-pro 前瞻支持

添加了对 gpt-5.4-pro 的前瞻兼容性支持，包括 Codex 定价和限制配置，以及在官方目录同步之前的列表/状态可见性。这意味着开发者可以提前配置和使用最新的 GPT-5.4 模型，无需等待上游目录更新。

OpenAI Codex/models 现在已经支持 gpt-5.4-pro，为即将到来的模型发布做好准备。

Step 2GPT-5.4 推理配置统一

修复了 GitHub Copilot 中 GPT-5.4 的推理配置问题。现在允许 github-copilot/gpt-5.4 使用 'xhigh' 推理级别，使 Copilot GPT-5.4 与其他 GPT-5.4 家族成员保持一致。

同时修复了 OpenAI 嵌入式运行中 minimal thinking 映射到 OpenAI 支持的 low 推理强度的问题，确保 GPT-5.4 请求不再失败请求验证。

Step 3Codex 别名规范化

将遗留的 openai-codex/gpt-5.4-codex 运行时别名规范化到 openai-codex/gpt-5.4，同时仍然尊重别名特定和规范的每模型覆盖配置。

这确保了现有配置继续工作的同时，提供了更清晰的模型标识。

— — — — — — — — — —

二、安全加固更新

本次更新包含多项关键安全修复，涉及 SSRF 防护、权限控制等多个方面。

Step 1Markdown 解析安全（ReDoS 防护）

用 markdown-it 替换了 marked.js，防止恶意构造的 Markdown 通过 ReDoS（正则表达式拒绝服务）攻击冻结 Control UI。这是一个重要的安全修复，确保即使收到恶意构造的 Markdown 内容也不会导致 UI 冻结或崩溃。

这个问题影响了所有使用 marked.js 解析用户输入的部署，建议所有用户立即升级。

Step 2心跳事件安全：强制降级

对于不受信任的 hook:wake 系统事件，现在会强制执行 owner 降级。这确保了即使恶意事件试图提升权限，也会被安全机制阻止。

这是防止权限提升攻击的重要防线。

Step 3浏览器 SSRF 策略增强

现在对 snapshot、screenshot 和 tab 路由强制执行 SSRF（服务器端请求伪造）策略。这防止了恶意用户通过这些端点访问内部服务。

同时恢复了严格 SSRF 策略下的主机名导航功能，并保持托管 loopback CDP /json/new 后备请求在本地 CDP 控制策略上。

Step 4Gateway 工具安全限制

现在会拒绝模型面向的 gateway 工具中会新启用 openclaw security audit 枚举的任何标志的 config.patch 和 config.apply 调用。例如 dangerouslyDisableDeviceAuth、allowInsecureAuth、dangerouslyAllowHostHeaderOriginFallback 等危险标志。

已启用的标志保持不变，非危险编辑仍可应用，直接认证的操作员 RPC 行为保持不变。

Step 5Microsoft Teams 发件人验证

在 SSO 登录调用上强制执行发件人允许名单检查，确保只有授权用户才能通过 Teams 触发 OpenClaw 操作。

Step 6配置脱敏

在 redactConfigSnapshot 中，现在会脱敏 sourceConfig 和 runtimeConfig 的别名字段。这防止了敏感配置在日志或快照中泄露。

— — — — — — — — — —

三、模型与提供商改进

多项修复提升了模型提供商的兼容性和稳定性。

Step 1Ollama 嵌入超时修复

修复了 Agents/Ollama 未将配置的嵌入运行超时转发到全局 undici 流超时调整的问题。之前慢速本地 Ollama 运行会继承默认的流截断而不是操作员设置的运行超时。

现在本地模型可以正确使用配置的超时设置，不再因为流截断而失败。

Step 2Codex 提供商目录修复

修复了 Models/Codex 在代码x提供商目录输出中缺少 apiKey 的问题，这会导致 Pi ModelRegistry 验证器拒绝条目并静默删除 models.json 中每个提供商的所有自定义模型。

现在自定义模型可以正确出现在模型列表中。

Step 3Ollama 视觉模型规范化

修复了图像和 PDF 工具在媒体工具注册表查找之前未规范化配置的 provider/model 引用的问题。之前工具运行会因为工具路径跳过通常的模型引用规范化步骤而拒绝有效的 Ollama 视觉模型。

现在可以正常使用 Ollama 的视觉模型进行图像和 PDF 分析。

Step 4Ollama 流式响应修复

修复了 Ollama/OpenAI 兼容接口未为 Ollama 流式补全发送 stream_options.include_usage 的问题。之前本地 Ollama 运行会报告虚假的使用量，导致premature compaction。

现在本地 Ollama 运行会报告真实的 token 使用量。

Step 5Memory 提供商前缀保留

修复了内存嵌入在规范化 OpenAI 兼容嵌入模型引用时未保留非 OpenAI 提供商前缀的问题。之前代理支持的内存提供商会因 'Unknown memory embedding provider' 错误而失败。

现在可以正确使用代理后的 Ollama 等嵌入服务。

— — — — — — — — — —

四、平台集成优化

各平台的集成体验得到了显著改善。

Step 1Telegram 话题名称学习

新增了 Telegram 话题名称学习功能。当 Telegram 论坛服务发送消息时，系统会自动学习并记住人类话题名称，并在 agent 上下文、提示元数据和插件 hook 元数据中显示这些友好名称。

修复了话题名称持久化问题——现在 learned topic names 会保存到 Telegram session sidecar store，这样 agent 上下文可以在重启后继续使用人类话题名称，而不是从未来的服务元数据中重新学习。

Step 2Slack 交互安全增强

修复了 Slack 交互安全问题。现在对 channel block-action 和 modal interactive events 应用配置的全局 allowFrom owner 允许列表，需要预期的发送者 ID 进行交叉验证，并拒绝 ambiguous channel types。

这样 interactive triggers 再也不能在没有 users 列表的频道中绕过文档化的允许列表意图。未配置允许列表时保持默认的开放行为。

Step 3Google 图像生成修复

修复了 Google 图像生成的问题。现在只在调用原生 Gemini 图像 API 时才剥离配置的 Google 基础 URL 末尾的 /openai 后缀，这样 Gemini 图像请求不再 404，同时不会破坏显式的 OpenAI 兼容 Google 端点。

Step 4Feishu 白名单规范化

规范化白名单条目为显式的 user/chat 类型，剥离重复的 feishu:/lark: 提供商前缀，停止将不透明的 Feishu ID 折叠为小写。

这确保白名单匹配不再跨越 user/chat 命名空间或扩展到操作员不打算的大小写不敏感 ID 匹配。

Step 5Discord 状态命令修复

修复了 Discord 原生命令返回真实状态卡片而不是在通用分发器产生不可见回复时回退到合成 ✅ Done. ack 的问题。

现在 /status 命令会正确显示系统状态信息。

Step 6WhatsApp 媒体加密修复

在 OpenClaw postinstall 期间修复了已安装 Baileys 媒体加密写入。默认 npm/install.sh 路径现在会等待加密媒体文件刷新完毕再进行回读。

这避免了图像发送时出现 transient ENOENT 崩溃的问题。

— — — — — — — — — —

五、调度与定时任务修复

Cron 调度系统获得了多项关键修复，提高了定时任务的可靠性。

Step 1避免短重试循环

当 cron next-run 计算没有返回有效未来槽时，现在会停止发明短重试，并保持维护唤醒 armed，以便启用的未调度任务能够恢复而不会进入重复 fire 循环。

Step 2保持错误回退下限

当维护修复重新计算缺失的 cron next-run 时，现在会保留 active 错误回退下限。这样反复出错的任务在 transient next-run 解析失败后不会提前恢复。

Step 3心跳话题隔离

当 target=last 时，保持孤立的心跳回复在绑定的论坛话题上，而不是将它们丢到群组根聊天。

— — — — — — — — — —

六、内存与会话管理

内存系统和会话管理得到了多项优化。

Step 1上下文引擎后台维护

将可选的 turn maintenance 运行为 idle-aware 后台工作，这样前台 turn 不再等待主动维护。

这意味着 agent 响应更加流畅，不会因为后台维护任务而延迟。

Step 2Active Memory 优化

将召回的 memory 移到隐藏的 untrusted prompt-prefix 路径，而不是系统提示注入。在 gateway 调试日志中包含解析的 recall provider/model，确保 trace 输出与模型实际看到的内容匹配。

这提升了内存系统的安全性和可调试性。

Step 3Ollama 内存适配器恢复

恢复了 memory-core 中内置的 ollama 嵌入适配器，这样显式的 memorySearch.provider: 'ollama' 再次工作，并包含端点感知的缓存键，这样不同的 Ollama 主机不会重用彼此的嵌入。

Step 4QMD 集合修复

修复了将遗留的小写 memory.md 视为第二个默认根集合的问题。现在 QMD 召回不再搜索 phantom memory-alt-* 集合，builtin/QMD root-memory 保持对齐。

— — — — — — — — — —

七、其他重要修复

还有多项值得关注的修复。

Step 1浏览器 CDP 本地连接

让 managed local Chrome readiness、status probes 和 managed loopback CDP control 绕过浏览器 SSRF 策略。这样 OpenClaw 不再错误地将健康的子浏览器分类为「启动后无法到达」。

Step 2TTS 语音回复修复

将 OpenClaw 临时语音输出持久化到 managed outbound media，并允许它们通过回复媒体规范化。这修复了语音笔记回复被静默丢弃的问题。

Step 3Windows 路径处理

现在将 Windows 驱动器字母路径(C:\...)视为绝对路径，用于解析 sandbox 和 read-tool 路径。这样在 POSIX 路径规则下不会再错误地添加工作区根目录。

Step 4会话元数据保护

停止让 heartbeat、cron-event 和 exec-event 回合覆盖共享会话的路由和原始元数据。这防止了 synthetic heartbeat targets 污染后续 cron 或用户投递。

Step 5自动回复策略优化

修复了 sendPolicy: "deny" 阻塞入站消息处理的问题。现在即使设置为拒绝发送，agent 仍会运行其回合，这对于 observer 风格的设置非常有用。

Step 6Doctor 系统修复

修复了 openclaw doctor --repair 和服务重安装，防止在用户 systemd units 中重新嵌入 dotenv-backed secrets，同时保留更新的内联覆盖优先于过时的 state-dir .env 值。

— — — — — — — — — —

七、常见问题与排错

Q1: 如何升级到 v2026.4.14？

运行 openclaw update 然后重启 gateway。

Q2: v2026.4.14 包含 beta 版本吗？

是的，这是包含所有 beta 测试修复的稳定版本。

Q3: GPT-5.4 支持需要特殊配置吗？

不需要，使用 'openai-codex/gpt-5.4-pro' 即可自动获得支持。

Q4: 安全修复是否影响现有功能？

安全修复不会影响正常功能，但某些安全策略可能需要管理员确认。

Q5: 如何报告问题？

请在 GitHub Issues 中报告，并包含 openclaw doctor 输出。

— — — — — — — — — —

八、安全建议

•立即升级以获得所有安全修复

•检查 openclaw doctor 确保配置安全

•公开暴露的服务应特别关注 SSRF 策略配置

•Markdown 解析已升级，请尽快更新

•定期查看 release notes 了解安全更新

— — — — — — — — — —

总结

50+ bug 修复和安全加固

GPT-5.4-pro 前瞻性支持

Markdown 解析安全修复（ReDoS 防护）

Telegram 话题名称学习功能

多项安全加固（心跳、浏览器、Teams）

Ollama 超时和流式响应修复

Cron 调度系统多项修复

内存与会话管理优化

•版本v2026.4.14

•发布日期2026年4月14日

•类型稳定版本

•主要修复50+

•安全修复8+

•贡献者45+

— — — — — — — — — —

我是atyou, 您有什么感兴趣的主题，可以给我留言让我们一起拥抱AI, 共同进步，享受美好生活。

参考文档：

•GitHub Release → 点击访问

https://github.com/openclaw/openclaw/releases/tag/v2026.4.14

•官方文档 → 点击访问

https://docs.openclaw.ai

•更新指南 → 点击访问

https://docs.openclaw.ai/install/updating

•安全审计文档 → 点击访问

https://docs.openclaw.ai/security/audit