← 返回玩法资讯首页

🦞 第8期:v2026.4.2发布 + Task Flow编排升级

50万实例的背后:OpenClaw正在成为Agent基础设施的事实标准

发布时间:2026-04-04 14:02 CST (周六) | 本期编辑:妙趣AI

📊 本期数据概览

本期聚焦4月2日发布的v2026.4.2和4月1日的v2026.4.1,OpenClaw生态持续高速发展,同时安全警报也引发社区广泛讨论。

50万+
互联网暴露实例
2
4月新版本发布
30+
安全修复
3
未修补CVE

🚨 安全警报:50万实例与CVE危机

OpenClaw已达50万互联网暴露实例,无企业级Kill Switch

来源: VentureBeat | 2026年4月初

一份来自Cisco、Palo Alto Networks等安全厂商的联合报告指出,OpenClaw已达到50万个互联网暴露实例,但同时存在3个未修补的高危CVE,且缺乏企业级Kill Switch和全网补丁机制。

⚠️ 安全建议

安全专家建议运行OpenClaw的组织立即评估风险

  • 启用防火墙限制不必要的对外暴露
  • 及时升级到最新版本获取安全补丁
  • 审查数据源的访问权限配置

这也凸显了OpenClaw在快速迭代中的安全管理挑战——一个开源项目的成功,往往伴随着攻击面的同步扩大。

安全 CVE 企业风险

安全专家建议:假设已被入侵

来源: Ars Technica | 2026年4月

安全专家在Ars Technica发表文章,建议OpenClaw用户"假设已被入侵"作为防护起点。

"对于将OpenClaw作为企业级AI Agent平台运行的组织来说,一旦operator.admin设备被入侵,攻击者可以读取所有连接的数据源、窃取凭证..."

文章强调:权限最小化零信任架构是应对这种风险的唯一有效策略。

零信任 安全建议

🆕 版本发布:v2026.4.2 + v2026.4.1

v2026.4.2 (4月2日):Durable Task Flow编排 + Provider安全加固

来源: GitHub Releases | 2026-04-02

⚡ Breaking Changes

  • xAI配置迁移: 将x_search设置从tools.web.x_search.*迁移到插件拥有的plugins.entries.xai.config.xSearch.*路径
  • Firecrawl配置迁移: 将Firecrawl web_fetch配置从核心路径迁移到plugins.entries.firecrawl.config.webFetch.*
  • 使用openclaw doctor --fix自动迁移遗留配置

✨ 主要更新

  • Task Flow持久化: 核心Task Flow底层回归,支持managed-vs-mirrored同步模式、持久化流状态/版本追踪
  • 子任务编排: 托管子任务生成 + 粘性取消意图,外部编排器可立即停止调度
  • Android助手集成: 添加Google Assistant App Actions入口点,Android可通过助手触发启动OpenClaw
  • Exec默认YOLO模式: Gateway/Node主机Exec默认启用YOLO模式(security=full + ask=off)
  • Provider replay钩子: 添加Provider拥有的重播钩子接口,支持transcript策略和推理模式分发
  • 飞书评论流: 专用Drive评论事件流,支持评论线程上下文解析、线程内回复
  • Matrix提及: 在文本发送、媒体标题、编辑中发出符合规范的m.mentions元数据
  • Agent压缩通知: agents.defaults.compaction.notifyUser让压缩提示变为可选

🔧 30+ 安全与稳定性修复

  • Provider传输策略集中化:统一处理auth、proxy、TLS和header
  • Copilot端点解析加固,防止token派生的代理端点被恶意利用
  • 流式header合并集中化,确保提供商特定header一致性
  • Agent子任务修复:修复sessions_spawn在loopback配对时的错误
  • 执行审批配置清理:自动清理无效的security、ask值
  • Slack格式修复:内置mrkdwn指导,避免回退到通用Markdown
  • WhatsApp推送修复:self-chat模式下发送不可用状态,保留推送通知
  • 图片生成Provider路由修复:统一OpenAI、MiniMax、fal图片请求路径
v2026.4.2 Task Flow 安全加固 Android

v2026.4.1 (4月1日):/tasks聊天面板 + SearXNG搜索

来源: GitHub Releases | 2026-04-01

✨ 主要功能

  • /tasks 聊天面板: 为当前会话添加聊天原生后台任务面板,显示最近任务详情
  • SearXNG搜索: 添加捆绑的SearXNG提供商插件,支持可配置的主机
  • Amazon Bedrock Guardrails: 支持Bedrock Guardrails内容过滤
  • macOS语音唤醒: 添加语音唤醒选项以触发Talk Mode
  • 飞书评论: 专用Drive评论事件流,支持文档协作工作流
  • Agent默认参数: agents.defaults.params支持全局默认提供商参数
  • 故障转移优化: 限制同一提供商的速率限制失败重试次数,新增auth.cooldowns.rateLimitedProfileRotations
  • Cron工具白名单: openclaw cron --tools支持每个任务单独的工具白名单
  • Z.AI模型: 添加glm-5.1和glm-5v-turbo到捆绑目录

🔧 50+ 修复

  • 聊天错误不再泄露原始Provider/运行时失败信息
  • Gateway重载忽略启动配置写入的持久化哈希,避免重启循环
  • 任务注册表维护不再阻塞Gateway事件循环
  • Slack和Discord原生审批处理对齐
  • Telegram支持errorPolicyerrorCooldownMs配置
  • LINE打包运行时合同解析修复
  • MiniMax插件自动启用
v2026.4.1 /tasks SearXNG Bedrock

🇨🇳 中国生态:草根力量重写全球Agent竞赛

Forbes:中国的草根OpenClaw正在重写全球Agent AI竞赛

来源: Forbes | 2026-04-02

Forbes深度报道:中国开发者社区的草根热情、政府支持和开源动力,正在使其实验室成为全球Agentic AI领域的有力竞争者。

报道指出,尽管存在技术限制,但中国的OpenClaw采用率呈现爆炸式增长。这背后是:

  • 草根社区: 开发者自发组织的学习小组和贡献者网络
  • 政策支持: 政府对开源AI的扶持政策
  • 本地化创新: QQ Bot、飞书等中国平台的一流支持

这也解释了为什么OpenClaw在2026.3.31版本特别加强了CJK TTS(中日韩语音合成)支持。

中国 Forbes 全球竞赛

💡 社区热议:观点与洞见

OpenClaw 2026.4.2 社区讨论精选

来源: Twitter/X, Discord, GitHub Discussions
"Task Flow的持久化意味着我们终于可以把Agent当作真正的工作流引擎来用了。不是简单的脚本,而是有状态、可恢复、可编排的分布式系统。"

— Twitter用户 @agent_dev_42

"50万实例听起来很酷,但3个未修补CVE听起来很可怕。开源项目在安全性和发展速度之间的平衡永远是个难题。"

— Hacker News评论

"xAI和Firecrawl的配置迁移是breaking change,但openclaw doctor --fix让迁移变得无痛。这种开发者体验值得称赞。"

— GitHub用户 @vincentkoc

📅 下期预告

🚀 值得期待

  • QQ Bot Bundle: 2026.3.31泄漏功能,预计近期正式发布
  • LINE Media支持: 图片、视频、音频外发功能已合并
  • Background Task Flows: 更强大的后台任务编排能力
  • CJK TTS升级: 中日韩语音合成优化

订阅RSS获取最新更新: /rss/feed.xml