AI新闻

OpenClaw v2026.3.2 发布:高密度更新精选(能力扩展 + 关键修复 + 升级风险)

这版更新体量很大(Changes 20 + Breaking 4 + Fixes 176)。本文保留全部核心新增与 Breaking,并精选一批高价值修复,兼顾信息密度与可读性。

2026年3月3日 · GitHub Release · 文章

OpenClaw v2026.3.2 这版更新非常多。下面先看最值得关注的内容。

亮点更新(先看这里)

  • 新增 PDF 一等工具:支持 Anthropic/Google 原生 PDF 能力,非原生模型自动回退,适合文档理解型工作流。
  • 模型能力增强:新增 MiniMax-M2.5-highspeed,并兼容旧 MiniMax-M2.5-Lightning 配置。
  • 跨渠道发送统一sendPayload 覆盖 Discord/Slack/WhatsApp/Zalo 等,多媒体和文本分片回退更稳。
  • 可运维性提升:新增 openclaw config validate --json,配置错误可在启动前发现并定位。
  • 安全与稳定性大幅加固:本版修复覆盖网关、插件路由、webhook、防 SSRF、sandbox 边界、浏览器/CDP、会话锁与 cron 等关键链路。

核心新增(能力面)

  • Secrets 体系扩展到更完整的凭据面:SecretRef 覆盖 64 个目标,openclaw secrets 规划/应用/审计链路更完整,活跃面未解析引用将快速失败。
  • sessions_spawn 增加内联附件能力(base64/utf8),并提供附件限制与生命周期清理。
  • Telegram 默认流式策略改为 partial,并增强私聊 sendMessageDraft 预览流与语音 mention 预检开关。
  • diffs 工具支持 PDF 输出与质量参数(fileQuality/fileScale/fileMaxWidth)。
  • 记忆检索支持 memorySearch.provider/fallback = ollama,打通 Ollama embeddings。
  • @openclaw/zalouser 改为进程内 zca-js,移除外部 CLI 传输依赖。
  • 插件扩展面增强:channelRuntime 暴露、api.runtime.stt.transcribeAudioFile(...)runtime.system.requestHeartbeatNow(...)runtime.events.* 订阅等接口补齐。
  • 消息生命周期 hooks 增强:新增 message:transcribedmessage:preprocessed,并丰富 message:sent 上下文(isGroupgroupId)。

升级注意(Breaking)

  • 新安装默认 tools.profile=messaging,不再默认开启广泛 coding/system 工具。
  • ACP dispatch 改为默认启用;需要停用时显式配置 acp.dispatch.enabled=false
  • Plugin SDK 移除 api.registerHttpHandler(...),需迁移到 api.registerHttpRoute(...)
  • @openclaw/zalouser 不再依赖 openzca/zca-cli,升级后建议 openclaw channels login --channel zalouser 刷新会话。

重点修复精选(按主题)

  • 安全:Plugin HTTP 路由要求显式 auth,并增加路由所有权冲突保护。

  • 安全:ws:// 默认仅 loopback,私网明文需显式 OPENCLAW_ALLOW_INSECURE_PRIVATE_WS=1

  • 安全:Webhook 入口强化“先认证后读体”,并增加 body/time 预算防慢速请求拖垮。

  • 安全:网关路径 canonicalization 加固,防深度编码路径绕过认证。

  • 安全:web_fetch 等链路强化 SSRF 防护与 DNS pinning。

  • 安全:sessions_spawn runtime=acp 与 sandbox 继承边界改为 fail-closed。

  • 安全:writeFileWithinRoot 采用更稳的原子写与后验校验,降低链接/竞态风险。

  • 安全:skills 压缩包解压流程统一加固,补齐 tar 安全边界。

  • 安全:Prompt 注入防护增强,抑制伪造系统消息标记污染。

  • 安全:配置备份权限收紧到 0600,并清理历史 .bak.* 泄露面。

  • Sandbox:/workspace 在非 rw 场景改为只读挂载,tools.fs.workspaceOnly 对图片/PDF 本地根路径也生效。

  • Sandbox:Docker 启用逻辑与 bootstrap 回滚更稳,减少“半配置状态”故障。

  • 渠道稳定性:Feishu 多机器人提及路由修复,降低误触发。

  • 渠道稳定性:Feishu /new/resetbefore_reset session-memory hook 行为对齐。

  • 渠道稳定性:Feishu topic 路由/根回复锚定修复(thread_id/root_id 处理更稳)。

  • 渠道稳定性:Feishu 私聊配对回复目标修复(chat:<chat_id>),并优化私聊路由识别。

  • 渠道稳定性:Feishu 默认账号选择更严格遵循 channels.feishu.defaultAccount

  • 渠道稳定性:Feishu 入站顺序、去抖、探测回退等链路修复,降低突发流量下丢包/重复。

  • Telegram:修复 token 缺失时 token.trim() 崩溃;模型按钮回调超长(64 字节)场景可回退。

  • Telegram:论坛系统消息不再绕过 requireMention

  • Slack:适配 Bolt 4.6+ 启动注册;认证失败改为 fail-fast,避免无效重试。

  • Slack:线程上下文注入、会话路由与入站去抖优化,减少上下文膨胀与路由混乱。

  • Discord:语音附件 mention 预检更准确;并恢复并行分发同时保持单频道顺序。

  • Synology Chat/Twilio:Webhook 兼容性、签名校验、回执与路由稳定性都有增强。

  • 浏览器/CDP:启动诊断增强(含 stderr/no-sandbox 提示),超时参数真正遵循 --timeout

  • 浏览器/CDP:cdpReady 改为必须成功 Browser.getVersion,减少“假健康”。

  • 浏览器/CDP:启动就绪、重连容错、relay 断连重附着、stale tabs 清理等稳定性修复。

  • 浏览器/CDP:远程 profile 所有权检查与代理环境(NO_PROXY)兼容性提升。

  • 浏览器:默认 profile 策略优化(偏向 openclaw),并支持 profile 级 attachOnly

  • 网关/UI:controlUiBasePath 下 webhook/POST 路由穿透与 405 行为更一致,减少误拦截。

  • 会话:Sessions/Lock recovery 修复 PID 复用与遗留锁文件问题,减少假死锁。

  • 会话:session store 缓存失效策略改进(同 mtime 不同 size 也能刷新)。

  • Cron:session reaper 移到 finally,避免异常后长期不清理。

  • Cron:抑制 HEARTBEAT_OK 噪声泄漏到用户会话。

  • Cron:旧格式 schedule/command/timeout 存储自动迁移,减少升级后报错循环。

  • Hooks:after_tool_call 去重触发并补全 sessionKey/agentIdtoolCallId/runId 关联更准确。

  • OpenAI:WS tool-call 空 call_id 防护,避免 400;/v1/chat/completions 尊重 x-openclaw-message-channel

  • 模型与运维:config.env.vars 提前注入、Codex usage 标签修正、模型配置支持 heartbeat 热重载、LanceDB embeddings 维度对齐。

来源

评论

评论发布后会立即公开,如触发规则可能被审核下架。

最多 1000 字。