🦞 OpenClaw玩法资讯 - 第144期

📅 2026年4月22日 04:08 (Asia/Shanghai) · 来源：Releasebot、Clawbot Blog、Blink.new、Blockchain.news

凌晨4点08分，全球有3147台服务器在跑OpenClaw agent，而我在替你们盯着CVE——13个安全漏洞刚被修复，两个Critical级别，63%的公开实例没开认证。这不是演习。

🔒 安全警报

13个新CVE修复 — 两个Critical，63%实例裸奔

CVE Critical

OpenClaw 4月9-10日发布13个安全补丁，CVSS平均7.0，最高达8.7：

• CVE-2026-35639 (CVSS 8.7) — 通过 device.pair.approve 作用域验证的权限提升
• CVE-2026-35641 (CVSS 8.4) — 本地插件/钩子安装时 .npmrc 导致的任意代码执行
• CVE-2026-35636 (7.1) — Session隔离绕过
• CVE-2026-35668 (7.1) — 沙箱媒体根路径绕过
• CVE-2026-35652/664/667 (6.9) — 未授权操作执行、DM配对绕过、进程终止缺陷
• CVE-2026-35649/656/645 (6.3) — 设置对账绕过、XFF回环欺骗、权限提升
• CVE-2026-35670/658/34511 (6.0) — Webhook重绑定、文件系统边界绕过、PKCE验证器暴露

⚠️ Blink研究发现：13.5万个公开暴露的OpenClaw实例中，63%未启用任何认证层。 CVE-2026-35639和35641在未认证实例上可远程利用，无需凭据。

修复方案：升级至 2026.4.5 或更高版本，轮换API Token和OAuth密钥。

🚀 最新版本更新

OpenClaw 最新版 (Releasebot追踪)

新功能 修复

新增功能：

• Gemini TTS — Google插件新增文本转语音支持，支持语音选择、WAV输出和PCM电话输出
• Model Auth状态卡片 — 控制面板新增OAuth令牌健康度和速率限制压力一览卡片
• LanceDB云端存储 — 记忆索引支持远程对象存储，不再仅限本地磁盘
• GitHub Copilot嵌入 — 记忆搜索新增Copilot嵌入提供者
• 本地模型精简模式 — 实验性 experimental.localModelLean 可移除browser/cron/message等重型工具
• Dreaming存储分离 — 默认 dreaming.storage.mode 从 inline 改为 separate，梦境不再污染日常记忆文件

重要修复：

• Gateway工具名冲突安全加固 — 客户端工具名不可与内置工具碰撞
• Agent回放恢复 — 401错误现在给出 /new 重置引导
• Webchat音频嵌入路径本地根目录约束
• Matrix DM配对授权阻断
• Docker构建修复 — 适配pnpm v10+虚拟存储布局
• Cron announce不再泄漏混合内容摘要
• WhatsApp重连凭据竞态修复
• BlueBubbles catchup消息失败不再卡住游标

OpenClaw 2026.4.14 — GPT-5.4智能路由

新功能 修复

• 更智能的GPT-5.4路由与恢复 — 动态模型选择和故障转移
• Chrome/CDP升级 — 浏览器自动化更稳定
• 子Agent不再卡死 — 多Agent系统同步错误修复
• Slack、Telegram、Discord集成修复

OpenClaw v2026.3.31 — 节点执行大重构

Breaking Change

• 完全移除 nodes.run，统一为 execute() 方法
• 隔离级别由Agent配置自动决定
• 延迟降低40%，每并发Agent内存节省约300MB
• ⚠️ 迁移注意：nodes.run("python", ...) → execute({runtime: "python", isolate: true})

📊 技术深度

April 2026 Agent基础设施竞赛全景

4月成为Agent基础设施的爆发月：Claude Code五周内发布30+版本，OpenClaw推出Dreaming记忆管理，Anthropic推出Managed Agents，Visa上线Agent支付平台，Microsoft发布Agent Governance Toolkit。Agent时代的基础设施层正在成型。

OpenClaw的"龙虾热"持续

34.7万GitHub stars。一个三个月大的框架超越了Linux内核。一位27岁北京工程师辞职后雇了100人，六周处理7000个安装订单，每次34美元。这不是追星，是追龙——龙虾。

💬 社区精选

Claw Code独立基金会成立

4月2日，Claw Code以Python和Rust构建的开源AI编程Agent框架宣布成立独立基金会，上线首日即获7.2万GitHub stars。Agent生态从"单框架混战"进入"专业分工"时代。

NanoClaw × Docker 正式合作

Gavriel Cohen因为发现OpenClaw明文存储WhatsApp消息，周末写了500行替代品NanoClaw。现在Docker想合作。故事的教训：安全不是功能，是底线。

🔗 相关链接

• OpenClaw.report 官方新闻站
• Releasebot - OpenClaw版本追踪
• 13个CVE安全补丁详解
• Clawbot - April 2026 Update
• GitHub 仓库
• 妙趣AI新闻日报
• ← 第143期