OpenClaw v2026.4.15(2026-04-17)· Gemini TTS、Model Auth 卡与工具信任加固

OpenClaw v2026.4.15（2026-04-17）· Gemini TTS、Model Auth 卡与工具信任加固

【DreamAI梦幻智能导读】

OpenClaw 是面向希望把 Claude、OpenAI、本地模型接到 WhatsApp、Telegram、Discord、Slack、Matrix 等渠道并统一会话、工具、技能与记忆的自托管 AI 助手 / Gateway，数据默认留在本机，适合需要跨应用自动化与可审计工具链的开发者与进阶用户。

本版在模型侧把 Anthropic 默认与 opus 别名对齐到 Claude Opus 4.7，并为 google 插件补齐 Gemini 文本转语音（TTS）；Control UI 增加 models.authStatus 驱动的 Model Auth 状态卡，一眼看到 OAuth 健康度与限流压力。memory-lancedb 支持对象存储，记忆检索可接 GitHub Copilot 嵌入；另有 localModelLean 实验开关以压缩本地弱模型提示词体积。安全面收紧 MEDIA: 本地媒体信任锚定、飞书 webhook 缺密钥即拒启、/mcp 鉴权常量时间比较等；Dreaming 默认改为 separate 存储以免日记块淹没日记忆文件。其余为 Matrix、BlueBubbles、WhatsApp、Codex、Ollama、TUI 等大量稳定性修复，条目与官方 Release 顺序一致，详见下文；旁证见参考资料¹²³⁴⁵。

版本概览

项目	信息
项目名称	OpenClaw
版本号	v2026.4.15
发布日期	2026-04-17
项目地址	https://github.com/openclaw/openclaw^[1]
Release 链接	https://github.com/openclaw/openclaw/releases/tag/v2026.4.15^[2]
Stars	359.5k
Forks	73.2k

完整更新日志

功能与改进（对应官方 Release「Changes」）

Anthropic/模型：调整 Anthropic 默认选型、opus 别名、Claude CLI 默认，并把捆绑图片理解默认对齐到 Claude Opus 4.7。
Google/TTS：在捆绑 google 插件中新增 **Gemini 文本转语音（TTS）**支持，含 provider 注册、音色选择、WAV 回复输出、PCM 电话音频输出与安装/文档指引。（#67515）
Control UI/概览：新增 Model Auth 状态卡，展示 OAuth token 健康与 provider 限流压力，对即将过期/已过期 token 做醒目标记；由网关新增 models.authStatus（脱敏、60s 缓存）支撑。（#66211）
Memory/LanceDB：为 memory-lancedb 增加云对象存储支持，使持久化记忆索引可跑在远程对象存储而非仅本地盘。（#63502）
GitHub Copilot/记忆检索：新增 Copilot 嵌入 provider用于记忆搜索，并提供专用 Copilot embedding host helper，插件可复用传输并尊重远端覆盖、token 刷新与更安全的载荷校验。（#61718）
Agents/本地模型：新增实验项 agents.defaults.experimental.localModelLean: true，可去掉 browser/cron/message 等重默认工具以缩小提示词，面向更弱的本地模型配置；正常路径不变。（#66495）
打包/插件：把捆绑插件的运行时依赖本地化到各自扩展，裁剪已发布文档载荷，并收紧安装/包管理器护栏，使发布包更精简、核心不再背负扩展自有运行时包袱。（#67099）
QA/Matrix：将 Matrix 在线 QA 拆到 qa-matrix 源码链接 runner，并把仓库私有 qa-* 面移出打包与发布产物。（#66723）
文档/Showcase：首页增加可扫读的 hero、完整 章节跳转链接与社区示例的响应式视频网格。（#48493）

修复（对应官方 Release「Fixes」）

Gateway/工具：将受信任的本地 MEDIA: 工具结果透传锚定到本轮已注册内置工具的原始名；若客户端工具名与内置或同请求其它客户端工具在规范化后冲突，则在 JSON 与 SSE 路径返回 400 invalid_request_error，避免冒名内置继承本地媒体信任。（#67303）
Agents/重放恢复：把 401 input item ID does not belong to this connection 归类为 replay-invalid，引导走既有 /new 会话重置提示而非裸 401。（#66475）
Gateway/Webchat：对 webchat 音频嵌入路径强制 localRoots 包含关系校验（AI-assisted）。（#67298）
Matrix/配对：禁止 DM pairing-store 条目授权 房间控制类命令（AI-assisted）。（#67294）
Docker/构建：用 find 在 node_modules 下校验 @matrix-org/matrix-sdk-crypto-nodejs 原生绑定，替代硬编码 .pnpm/... 路径，避免 pnpm v10+ 虚拟存储布局导致镜像构建失败。（#67143）
Matrix/E2EE：对无密码 token 认证机器人保持保守启动引导，仍尝试受控修复流程且不强依赖 channels.matrix.password，并文档化剩余 password-UIA 限制。（#66228）
Cron/播报投递：抑制以 NO_REPLY 结尾的混合内容隔离 cron 播报回复，避免尾部静默标记泄漏摘要到目标频道。（#65004）
插件/捆绑渠道：按当前激活的 bundled root分区捆绑渠道懒缓存，OPENCLAW_BUNDLED_PLUGINS_DIR 切换不再复用过期的插件/setup/secrets/运行时状态。（#67200）
打包/插件：裁剪捆绑插件运行时里常见 test/spec cargo，并在 npm release 校验中若测试 cargo 回潮则失败，使发布 tarball 更精简。（#67275）
Agents/上下文 + Memory：收紧默认启动/技能提示预算；默认 memory_get 摘录上限并带明确续读元数据；QMD 读取与同一摘录契约对齐，长会话默认拉取更少上下文。（无 PR 号，见 Release 原文）
Matrix/命令：在房间流量上跳过 DM pairing-store 读取（房间控制命令授权已不再依赖 pairing-store），收窄房间路径但不改变授权语义。（#67325）
Memory-core/Dreaming：在 bootstrap 记录落盘前跳过会污染会话摄取的 dreaming 叙事转写。（#67315）
Agents/本地模型：澄清自托管模型的低上下文预检提示，把配置上限指向相关 OpenClaw 设置，并在 agents.defaults.contextTokens 才是真限制时避免误推更大模型。（#66236）
Dreaming/memory-core：默认 dreaming.storage.mode 自 inline 改为 separate，使 ## Light Sleep/## REM Sleep 等阶段块写入 memory/dreaming/{phase}/YYYY-MM-DD.md；需要旧行为可显式设回 inline。（#66412）
Control UI/概览：修复 Model Auth 卡对 别名 provider、env 型 OAuth + auth.profiles、不可解析 env SecretRef 的误报「缺失」。（#67253）
Dashboard：桌面端限制 exec 审批弹窗溢出，避免长命令把操作按钮挤出视区。（#67082）
Agents/CLI 会话：把成功的 CLI 驱动轮次持久化进 OpenClaw 会话 transcript，使 google-gemini-cli 回复出现在会话历史与 Control UI。（#67490）
Discord/工具调用文本：从可见助手文本中剥离孤立的 Gemma 风格 ... 工具调用载荷，不截断正文示例或尾部回复。（#67318）
WhatsApp/Web 会话：在重开 socket 前排空待保存的 per-auth creds 队列，避免重连时 creds.json 写入竞态导致误从备份恢复。（#67464）
BlueBubbles/补拉：为单条消息增加 catchup.maxFailureRetries（默认 10）上限；修复去重文件锁的丢更新竞态、升级时命名迁移缺口、以及 balloon-event 绕过导致重复回放等问题。（#67426、#66870）
Ollama/聊天：从请求模型 id 去掉 ollama/ provider 前缀，使 ollama/qwen3:14b-q8_0 等配置不再对 Ollama API 404。（#67457）
Agents/工具：把非工作区主机的 ~ 路径解析到 OS 用户主目录，并让编辑恢复与之一致，避免 OPENCLAW_HOME 不同时 ~/... 读写错位。（#62804）
Speech/TTS：自动启用捆绑的 Microsoft 与 ElevenLabs 语音 provider，并让通用 [[tts:...]] 指令优先走显式或当前 provider，避免静默落到错误 provider。（#62846）
OpenAI Codex/模型：在运行时解析与发现/列表中归一化陈旧 native transport 元数据，使遗留 openai-codex 行自愈到规范 Codex transport，避免走坏掉的 HTML/Cloudflare 路径。（#67635）
Agents/故障转移：把 CDN 式 5xx 的 HTML provider 错误页归类为上游传输失败而非误判限流；仍保留 HTML 401/403 的鉴权修复与 407 的代理修复语义。（#67642）
Gateway/技能：当配置写入触及 skills.* 时提升缓存的 skills-snapshot 版本，避免会话冻结旧技能列表导致 Tool not found 循环。（#67401）
Agents/工具循环：默认启用 未知工具流式防护；此前仅在显式开启 tools.loopDetection.enabled 时才生效，默认关闭会导致幻觉/已移除工具循环到超时。（#67401）
TUI/流式：在 tui-event-handlers 增加客户端 30s 无增量静默 watchdog，避免丢失 state: "final" 事件后指示器永久卡在 streaming；可用 streamingWatchdogMs 配置，0 关闭。（#67401）
Extensions/LM Studio：为推理预加载包装器加指数退避，避免模型加载失败时每 ~2s 刷屏 WARN。（#67401）
Agents/重放：在严格重放 tool-call ID 清洗后重跑 tool/result 配对，避免 MiniMax 等收到畸形孤儿 tool-result id。（#67620）
Gateway/启动：修复 Linux/systemd 上仅因插件自启写配置触发的 SIGUSR1 重启循环（配置哈希守卫未覆盖该路径），避免 manifest.db 损坏。（#67557，Fixes #67436）
Codex/.harness：当选择 codex 作为嵌入式 agent harness 运行时时自动启用 Codex 插件。（#67474）
OpenAI Codex/CLI：在 codex exec resume 上保持安全非交互路径，使用 --skip-git-repo-check 与 sandbox_mode="workspace-write" 覆盖，避免危险旁路标志回归。（#67666）
Codex/app-server：解析 Desktop 来源的多词 User-Agent（如 Codex Desktop/0.118.0），保持版本门控有效。（#64666）
Cron/播报投递：让隔离播报的 NO_REPLY 剥离大小写不敏感，并在结构化仅媒体发送与主会话感知上更稳健。（#65016）
Sessions/Codex：仅当最新助手消息可见文本相同才跳过冗余 delivery-mirror 追加，避免误抑制跨轮重复回答。（#67185）
自动回复/prompt-cache：把易变的入站聊天 id 移出稳定系统提示，使任务作用域适配器可复用 prompt cache。（#65071）
BlueBubbles/入站：在 Node 22+ 恢复入站图片下载（剥离不兼容 undici dispatcher），接受带附件的 updated-message webhook，按事件类型做去重键，并在首轮附件数组为空时重试拉取。（#64105、#61861、#65430、#67510）
Agents/技能：合并后按技能名排序 available_skills，避免 skills.load.extraDirs 顺序扰动 prompt-cache 前缀。（#64198）
Agents/OpenAI Responses：新增 models.providers.*.models.*.compat.supportsPromptCacheKey，兼容代理可保留 prompt_cache_key。（#67427）
Agents/上下文引擎：在工具循环中保持 loop-hook 与最终 afterTurn prompt-cache touch 元数据与当前助手轮次一致。（#67767）
Memory/Dreaming：在归一化前剥离面向 AI 的入站元数据信封，使 REM 主题抽取看到用户真实文本（含数组形拆分信封）。（#66548）
Agents/错误：在传输 DNS 分类前先识别独立 Cloudflare/CDN HTML challenge 页面。（#67704）
安全/审批：在 exec 审批提示中对密钥做脱敏，避免审批预览泄漏凭据材料。（#61077、#64790）
CLI/configure：写配置后重读持久化配置哈希，消除 stale-hash 竞态。（#64188、#66528）
CLI/update：npm 升级后清理陈旧打包 dist chunk，并保持降级/校验清单兼容。（#66959）
Onboarding/CLI：修复全局安装 CLI 场景下频道选择导致的崩溃。（#66736）
视频生成/线上测试：限制 provider 轮询、默认走更快非 FAL 文生视频路径，并用 1 秒 lobster prompt 避免发布验证无限等待。（无 PR 号）
Memory-core/QMD memory_get：拒绝任意工作区 Markdown 路径读取，仅允许规范记忆文件与活动索引 QMD 精确路径，避免 QMD 后端绕过 read 工具策略。（#66026）
Cron/agents：把嵌入式运行工具策略与内部事件参数下推到 attempt 层，使 --tools allowlist、cron 抑制消息工具等再次生效。（#62675）
Setup/providers：在 setup 的 preferred-provider 查找中防护缺失 provider id 的畸形插件元数据，避免 trim of undefined 崩溃。（#66649）
Matrix/安全：归一化沙箱头像参数、保留 mxc:// 头像 URL，并在重载时暴露 gmail watcher 停止失败。（#64701）
Telegram/文档：去除入站 Telegram 文本处理中泄漏的二进制 caption 字节，避免 .mobi/.epub 等上传炸 prompt token。（#66663）
Gateway/auth：在 HTTP 服务与 HTTP upgrade 上按请求解析活跃 gateway bearer（对齐 WebSocket 路径），使 secrets.reload/热重载后 HTTP 侧立即失效旧密钥。（#66651）
Agents/compaction：把 compaction reserve-token floor 上限夹到模型上下文窗口，避免小上下文本地模型每轮触发溢出或无限压缩循环。（#65671）
Agents/OpenAI Responses：把 Unknown error (no error details in response) 归类为 unknown 故障转移原因，使助手/模型回退仍可走。（#65254）
Models/probe：把无效模型探测失败在 models list --probe 中展示为 format 并加回归覆盖。（#50028）
Agents/故障转移：把 OpenAI 兼容的 finish_reason: network_error 流失败归类为 timeout，使回退重试继续。（#61784）
Onboarding/channels：在发现与校验前归一化频道 setup 元数据，避免畸形/混形元数据破坏列表。（#66706）
Slack/原生命令：为 /verbose 等斜杠命令的原生按钮分配唯一 action id，仍走共享监听器。（致谢 @Wangmerlyn）
飞书/webhook：缺 encryptKey 或空回调 token 时拒绝启动 webhook、拒收未签名请求、丢弃空白卡片动作 token；在已收紧的 monitor-account 之上再加纵深。（#66707）
Agents/工作区文件：让 agents.files.get/set 与列表走共享 fs-safe，拒绝 allowlist 文件符号链接别名，并在 open 与 realpath 之间符号链接交换场景下从 fd 解析真实路径防绕路。（#66636）
Gateway/MCP loopback：把 /mcp bearer 比较改为常量时间 safeEqualSecret，并在鉴权门前用 checkBrowserOrigin 拒绝非 loopback 浏览器来源；localhost 与 127.0.0.1 仍放行。（#66665）
自动回复/计费：把纯计费冷却回退摘要从结构化原因分类出来，展示计费引导而非泛化失败。（#66363）
Agents/回退：在带会话历史的模型回退重试中保留原始 prompt 体，避免重试模型只看到泛化续写。（#66029）
回复/密钥：在回复运行发现消息动作前解析活跃回复渠道/账户 SecretRef，避免 Discord 等 token SecretRef 在发现阶段降级为未解析失败。（#66796）
Agents/Anthropic：忽略非正 max_tokens 覆盖并在无正预算时本地失败，避免无效值打到 provider API。（#66664）
Agents/上下文引擎：延迟维护复用 afterTurn 运行时上下文时保留 prompt-only token 计数而非全请求总计，以对齐活跃 prompt 窗口。（#66820）
BlueBubbles/入站：增加持久化 GUID 去重，避免 BB Server 重启或重连后 webhook 重放导致重复回复。（#19176、#12053、#66816）
Secrets/插件/状态：对齐 SecretRef 在 inspect 与 strict 路径上的处理，避免只读 CLI 因未解析引用崩溃。（#66818）
Memory/Dreaming：避免仅引用 dream-diary prompt 的普通转写被误判为内部 dreaming 运行而静默丢弃。（#66852）
Telegram/文档：净化二进制回复上下文与类 ZIP 归档解压，避免 .epub/.mobi 通过回复元数据或 text/plain 强制泄漏二进制。（#66877）
Telegram/原生命令：当 commands.native/commands.nativeSkills 为 auto 时恢复插件注册表驱动的自动默认，保持斜杠命令注册。（#66843）
OpenRouter/Qwen3：把 reasoning_details 流增量解析为思考内容且不误伤同块工具调用，修复 OpenRouter 上 Qwen3 空回复。（#66905）
BlueBubbles/补拉：用持久 per-account cursor 与 /api/v1/message/query?after= 在网关重启后补拉漏掉的 webhook 消息，并与 GUID 去重协同。（#66857、#66721）
Telegram/原生命令：让命令同步缓存进程内化，网关重启后重新注册菜单，不信任磁盘陈旧状态。（#66730）
Audio/自建 STT：恢复 models.providers.*.request.allowPrivateNetwork 用于语音转写，修复 v2026.4.14 回归导致的 SSRF 误拦。（#66692）
自动回复/媒体：在自动回复发送流中允许工作区根下的绝对媒体路径通过校验。（#66689）
WhatsApp/Baileys 媒体上传：加固加密上传处理，降低大媒体发送的缓冲尖峰与可靠性回退。（#65966）
QQBot/cron：在 parseFaceTags/filterInternalMarkers 防护 event.content undefined，避免 cron 触发空内容崩溃。（#66302）
CLI/插件：阻止 --dangerously-force-unsafe-install 在安全扫描失败后回退到 hook-pack 安装，同时保留真实 hook pack 的非安全回退。（#58909）
Claude CLI/会话：把 No conversation found with session ID 归类为 session_expired 以清绑定并在下一轮恢复。（#65028）
Context Engine：第三方上下文引擎插件在解析期失败时优雅回退到旧引擎，避免每次频道请求都网关全挂。（#66930）
Control UI/聊天：活跃发送期间延迟同会话历史重载，保持乐观用户卡片可见，覆盖中止与错误运行。（#66997）
媒体/Slack：仅当回退缓冲确能解码为文本时，才允许主机本地 CSV/Markdown 上传走文本例外，避免把不透明二进制改名绕过。（#67047）
Ollama/引导：拆分 Cloud + Local/Cloud only/Local only，支持直连 OLLAMA_API_KEY 云 setup，并把 Ollama web search 留在本地主机路径。（#67005）
Webchat/安全：拒绝媒体嵌入路径中的远程主机 file:// URL。（#67293）
Dreaming/memory-core：日回忆去重使用摄取日而非源文件日，使同日笔记跨天重复扫描可递增 dailyCount。（#67091）
Node-host/tools.exec：让审批绑定区分已知原生二进制与可变 shell 载荷文件，仍对未知/竞态探测 fail-close；修复 /usr/bin/whoami 等绝对路径被误判为不安全解释器命令。（#66731）

参考资料

OpenClaw 官方 GitHub Release（v2026.4.15）：https://github.com/openclaw/openclaw/releases/tag/v2026.4.15^[3]
GitHub Releases 列表（版本上下文与相邻 tag）：https://github.com/openclaw/openclaw/releases^[4]
NewReleases 镜像页（便于 RSS/聚合读者交叉核对）：https://newreleases.io/project/github/openclaw/openclaw/release/v2026.4.15^[5]
npm 包 openclaw@2026.4.15（发布物与版本号旁证）：https://www.npmjs.com/package/openclaw^[6]
官方安装文档（自托管部署入口）：https://docs.openclaw.ai/install/^[7]

关于作者和DreamAI

https://docs.dingtalk.com/i/nodes/Amq4vjg890AlRbA6Td9ZvlpDJ3kdP0wQ^[8]

关注微信公众号“AI发烧友”，获取更多AI技术文档及IT开发运维实用工具与技巧

引用链接

[1]https://github.com/openclaw/openclaw

[2]https://github.com/openclaw/openclaw/releases/tag/v2026.4.15

[3]https://github.com/openclaw/openclaw/releases/tag/v2026.4.15

[4]https://github.com/openclaw/openclaw/releases

[5]https://newreleases.io/project/github/openclaw/openclaw/release/v2026.4.15

[6]https://www.npmjs.com/package/openclaw

[7]https://docs.openclaw.ai/install/

[8]https://docs.dingtalk.com/i/nodes/Amq4vjg890AlRbA6Td9ZvlpDJ3kdP0wQ