OpenClaw v2026.4.15 全面发布

OpenClaw v2026.4.15 全面发布

Claude Opus 4.7 + Gemini TTS + 42项安全修复

Model Auth状态卡 / LanceDB云存储 / 本地模型轻量化 / 史上最大安全更新

我是atyou, 今天教大家OpenClaw v2026.4.15 完整发布解析。

2026年4月16日，OpenClaw 正式发布 v2026.4.15 版本。从 beta.1 到正式版历经约26小时，汇聚了42位贡献者的智慧，带来了多项重量级更新。

本次发布最核心的两大亮点是 Claude Opus 4.7 全面升级和 Google Gemini TTS 语音合成服务首次亮相。与此同时，v2026.4.15-beta.1 还带来了 Model Auth 状态监控、LanceDB 云存储支持、本地模型轻量化模式等8项新功能，以及针对安全、内存、渠道的46项问题修复。

这是 OpenClaw 史上规模最大的安全更新之一，多个高危漏洞被修复。下面让我们逐一深入了解这些更新。

— — — — — — — — — —

一、核心更新：Claude Opus 4.7 全面升级

Anthropic 模型默认配置全面升级到 Opus 4.7，带来更强的图像理解能力。

Step 1升级内容

本次更新将所有 Opus 相关的默认选择（default selections）、别名（aliases）以及 Claude CLI 默认值统一升级到 Opus 4.7 版本。

更重要的是，OpenClaw 内置的图像理解（image understanding）能力也同步升级到 Claude Opus 4.7，带来更精准的多模态理解能力。

Step 2别名兼容性

为了让现有配置平滑过渡，Opus 的各种别名（如 opus、claude-opus 等）仍然可以正常使用。

OpenClaw 会在内部自动将别名解析为最新的 4.7 版本，用户无需修改现有的配置或提示词。

— — — — — — — — — —

二、核心更新：Gemini TTS 语音合成

Google 插件正式接入 Gemini TTS 服务，用户可以通过 OpenClaw 直接调用 Google 的语音合成能力。

Step 1接入方式

Gemini TTS 通过 Google 插件的 speechProvider 接口接入，支持使用现有的 Google API Key 进行认证。这意味着之前已经配置了 Google 相关密钥的用户可以直接使用，无需额外配置。

认证支持多种方式：messages.tts.providers.google.apiKey、models.providers.google.apiKey，以及环境变量 GEMINI_API_KEY 和 GOOGLE_API_KEY。OpenClaw 会按照优先级自动选择可用的认证方式。

# 配置示例（通过环境变量）

export GEMINI_API_KEY=your_gemini_api_key

# 或通过配置文件

messages:

tts:

providers:

google:

apiKey:your_key

Step 2输出格式

Gemini TTS 支持两种输出模式：标准 WAV 格式和 telephony PCM 原始流。

对于常规的语音合成请求，OpenClaw 会将 24kHz PCM 音频封装为 WAV 文件返回。而对于 Talk/电话场景，则直接返回 PCM 原始数据，满足 telephony 场景的特殊需求。

Step 3安全机制

在安全方面，OpenClaw 严格限制了 Gemini TTS 的网络访问范围。只允许访问 https://generativelanguage.googleapis.com 这个受信任的 base URL，防止潜在的 SSRF 攻击。

API Key 仅通过已有的密钥/配置/环境变量渠道传递，以 x-goog-api-key header 形式发送给 Gemini API，完全遵循最小权限原则。

— — — — — — — — — —

三、新功能：Model Auth 状态监控

Control UI 新增 Model Auth 状态卡片，显示 OAuth Token 健康状况和 Provider 速率限制压力。

Step 1功能特性

新增 models.authStatus gateway 方法，strip credentials 并缓存60秒，为前端提供安全的认证状态查询接口。

当 OAuth Token 即将过期或已过期时，状态卡片会显示 attention callouts，提醒用户及时刷新认证信息。

— — — — — — — — — —

四、新功能：LanceDB 云存储支持

memory-lancedb 插件现在支持云存储，让持久化记忆索引可以运行在远程对象存储上，而非仅限本地磁盘。

Step 1支持场景

用户现在可以将 LanceDB 记忆索引存储在 S3、Azure Blob、GCS 等云存储服务上，实现跨设备共享记忆数据。

这对于需要在多台机器上使用相同记忆上下文的用户非常有用。

— — — — — — — — — —

五、新功能：本地模型轻量化模式

新增实验性配置 agents.defaults.experimental.localModelLean: true，可以丢弃重量级默认工具，减小弱本地模型的提示大小。

Step 1优化效果

启用该模式后，browser、cron、message 等重量级工具将不被默认加载，显著减少 prompt token 消耗。

这对于 Ollama、LM Studio 等本地模型特别有用，可以避免每次请求都触发上下文溢出。

# 配置文件示例

agents:

defaults:

experimental:

localModelLean:true

— — — — — — — — — —

六、安全修复：42项漏洞和漏洞修复

这是 OpenClaw 史上最大规模的安全更新之一，修复了多个高危漏洞。

Step 1敏感信息泄露防护

修复了 exec approval prompts 中的敏感信息泄露问题，防止内联审批审查在渲染的 prompt 内容中泄露凭证材料。

修复了 Telegram 文档上传时二进制 caption 字节泄露问题，避免 .mobi、.epub 等文档上传导致 prompt token 计数爆炸。

Step 2认证和授权加固

修复了 Gateway 认证问题：secret 轮换后立即在 /v1/*、/tools/invoke、plugin HTTP routes 生效，无需重启 Gateway。

修复了 Gateway MCP loopback 认证比较方式，从 plain !== 改为 constant-time safeEqualSecret。

修复了 Matrix DM pairing-store 可以授权 room control commands 的安全漏洞。

# MCP loopback 安全修复

# 修复前：plain !== 比较

bearer !== loopbackBearer

# 修复后：constant-time 比较

!safeEqualSecret(bearer, loopbackBearer)

Step 3文件访问隔离

修复了 Memory-core QMD memory_get 可以读取任意工作区 markdown 路径的漏洞，现在只允许规范的记忆文件路径。

修复了 Workspace 文件访问漏洞：route agents.files.get/set 和 workspace listing 通过 fs-safe helpers，reject symlink aliases，防止路径劫持攻击。

Step 4Web 安全加固

修复了 Webchat 媒体嵌入路径接受远程 host file:// URL 的漏洞。

修复了 Gateway webchat audio 嵌入路径的 localRoots 隔离问题。

修复了 Feishu webhook 缺少 encryptKey 时的安全降级问题。

Step 5BlueBubbles 图像恢复

修复了 Node 22+ 环境下 BlueBubbles 入站图像附件下载失败的问题。

新增 persistent file-backed GUID dedupe，防止 Gateway 重启后的消息重复处理。

新增 webhook 消息重放机制，网关宕机期间的消息不会丢失。

— — — — — — — — — —

七、其他重要修复

除了安全和核心功能外，还有多项体验优化和 bug 修复。

Step 1CLI 更新修复

npm 升级后 global 安装的 OpenClaw 可能会因为残留的旧版 dist chunks 导致导入失败。v2026.4.15 增加了自动清理机制，在升级后删除过期的打包文件。

# 更新命令（自动清理残留 chunks）

openclaw update

Step 2技能排序修复

之前版本的技能排序问题导致 available_skills 条目的顺序受 skills.load.extraDirs 配置影响，进而改变了 prompt-cache 的前缀。

v2026.4.15 现在会在合并技能来源后按技能名称排序，确保 prompt-cache 前缀的一致性。

Step 3内存管理优化

调整了启动和技能加载时的默认 prompt budgets，降低了上下文初始大小。

memory_get 操作现在默认限制摘录长度，并携带明确的 continuation 元数据，长会话会加载更少的历史上下文。

Step 4OpenAI Codex 传输自愈

对于使用 legacy openai-codex 配置的用户，如果缺少正确的 api 配置，可能会被错误地路由到 Cloudflare 保护的 HTML 页面导致请求失败。

v2026.4.15 在运行时解析和 discovery/listing 两个环节都增加了传输元数据规范化逻辑，让这些遗留配置自动修复为正确的 Codex transport。

— — — — — — — — — —

八、贡献者致谢

从 beta.1 到正式版，共有42位贡献者参与了本次发布，感谢他们的辛勤付出！

Step 1核心贡献者

beta.1: 38位贡献者（包括 @hexsprite, @vincentkoc, @jalehman, @feiskyer 等）

beta.2: 1位贡献者（@barronlroth - Gemini TTS）

正式版: 4位贡献者（@barronlroth, @omarshahine, @obviyus, @Bartok9）

— — — — — — — — — —

九、总结与展望

v2026.4.15 是 OpenClaw 发展历程中的重要里程碑。

Step 1核心要点回顾

1. Claude Opus 4.7 全面升级，图像理解能力显著提升

2. Gemini TTS 语音合成服务首次亮相，支持 WAV 和 telephony PCM 双模式

3. Model Auth 状态监控卡片上线，OAuth Token 过期自动提醒

4. LanceDB 云存储支持，记忆索引可存储在 S3/GCS/Azure

5. 本地模型轻量化模式，Ollama 用户可减少 50%+ prompt 消耗

6. 42项安全修复，覆盖认证、授权、文件访问、Web 安全

7. BlueBubbles 图像接收恢复，Node 22+ 环境正常工作

8. CLI 自动清理残留 chunks，解决 global 升级失败问题

— — — — — — — — — —

七、常见问题与排错

Q1: Gemini TTS 需要单独申请 API Key 吗？

不需要。您可以使用已有的 Google API Key（GEMINI_API_KEY 或 GOOGLE_API_KEY），或者通过配置指定。

Q2: 升级后之前配置的技能排序会变吗？

不会。修复后技能按名称字母顺序排序，不受 extraDirs 配置顺序影响。

Q3: BlueBubbles 修复是否需要重新配置？

不需要。这是代码层面的修复，Node 22+ 环境下会自动生效。

Q4: Opus 4.7 的图像理解提升具体表现在哪些方面？

主要体现在复杂场景分析（如图表、流程图、UI 截图）、视觉推理任务和多图对比等方面。

Q5: 如何验证我的 OpenClaw 已经升级到 v2026.4.15？

运行 openclaw --version 或在 VS Code 的 OpenClaw 扩展中查看版本信息。

Q6: 本地模型轻量化模式会影响哪些功能？

启用后 browser、cron、message 等工具默认不加载。如果需要使用这些工具，请手动在配置中启用。

Q7: 这次安全更新是否需要立即升级？

是的。建议所有用户尽快升级，特别是使用 BlueBubbles、Gateway MCP、Matrix 的用户。

— — — — — — — — — —

八、安全建议

•API Key 安全：不要将 API Key 提交到代码仓库，使用环境变量或密钥管理服务

•工具命名：客户端工具命名需避免与内置工具冲突，否则会收到 400 错误

•网络限制：Gemini TTS 仅允许访问 generativelanguage.googleapis.com，请确保网络策略允许此访问

•敏感信息：升级后检查配置中是否有硬编码的凭证，及时迁移到 SecretRef

•OAuth Token：关注 Control UI 的 Model Auth 状态卡片，及时刷新即将过期的 Token

— — — — — — — — — —

总结

v2026.4.15 带来 Claude Opus 4.7 和 Gemini TTS 双重升级

42位贡献者参与，史上最大规模安全更新（42项安全修复）

新增 Model Auth 监控、LanceDB 云存储、本地模型轻量化模式

多项渠道和功能 bug 修复，体验显著改善

•模型Claude Opus 4.7 + Gemini TTS

•安全42项修复，包括认证、授权、文件隔离

•新功能Model Auth监控 / LanceDB云存储 / 轻量化模式

•修复技能排序、内存优化、BlueBubbles、CLI更新

•版本v2026.4.15

•贡献者42位

— — — — — — — — — —

我是atyou, 您有什么感兴趣的主题，可以给我留言让我们一起拥抱AI, 共同进步，享受美好生活。

参考文档：

•GitHub 仓库 → 点击访问

https://github.com/openclaw/openclaw

•正式版 Release → 点击访问

https://github.com/openclaw/openclaw/releases/tag/v2026.4.15

•Beta.1 Release → 点击访问

https://github.com/openclaw/openclaw/releases/tag/v2026.4.15-beta.1

•Gemini TTS PR #67515 → 点击访问

https://github.com/openclaw/openclaw/pull/67515

•Skill Sorting Fix #64198 → 点击访问

https://github.com/openclaw/openclaw/pull/64198

•BlueBubbles Fix #67510 → 点击访问

https://github.com/openclaw/openclaw/pull/67510

•Gateway Security #67303 → 点击访问

https://github.com/openclaw/openclaw/pull/67303