🚀 v2026.4.20-beta.1 预发布 BETA
4月21日推送,又一个诚意满满的beta版本——Cron状态分离、Moonshot K2.6默认、Mattermost流式预览齐上阵。
✨新功能
- Cron状态分离:运行时执行状态拆入
jobs-state.json,让 jobs.json 保持稳定可Git追踪。以后cron定义和运行状态各管各的,再也不怕误提交运行数据了。
- Moonshot K2.6默认:捆绑Moonshot全面切到
kimi-k2.6,K2.5保留兼容;支持 thinking.keep = "all" 在K2.6上开启。
- 分层模型定价:支持缓存目录和配置模型的分层计费,附K2.6/K2.5 token用量估算。
- Mattermost流式预览:思考过程、工具调用、部分回复整合成单条草稿预览,完成时原地定稿。
- Agent Compaction通知:上下文压缩时可选发送开始/完成通知。
- Plugin Detached Task:插件执行器可自行管理detached任务生命周期和取消,不必再深入核心task内部。
- BlueBubbles群组系统提示:按群组注入
systemPrompt 配置,支持通配符匹配。
- Onboard向导重设计:安全声明黄色Banner + 列表化 + 加载Spinner,首次配置体验更丝滑。
🔧修复
- YOLO Exec修复:安全模式 + ask=off下不再拒绝Python/Node stdin执行,heredoc终于能用了。
- Terminal日志优化:
sanitizeForLog() 从迭代循环改为单次正则,保留ANSI行为但更快。
- QA套件严格化:
openclaw qa 默认失败即中断,CI更可靠。
🔧 v2026.4.19-beta.2 修复版 BETA
4月19日发布,精准修了几个让运营同学头疼的问题。
- OpenAI流式Usage修复:始终发送
stream_options.include_usage,自定义OpenAI兼容后端终于能报告真实token用量而不是0%。
- 嵌套Session隔离:长运行的嵌套agent不再阻塞其他无关session,按目标session隔离工作。
- Usage状态保留:provider省略usage元数据时,/status保留上次已知值而非回退到0%。
- 跨Agent Channel路由:子agent spawn使用目标agent绑定channel,共享房间不再错继承调用方账号。
- Telegram回调修复:过期分页按钮不再卡住更新水位线。
- CDP WSL兼容:WSL到Windows Chrome端点不再误报离线。
🏆 v2026.4.15 稳定版 STABLE
4月16日发布——当前最新稳定版,含金量极高。Claude Opus 4.7默认、Gemini TTS捆绑、LanceDB云存储三件套直接拉满。
✨核心新功能
- Claude Opus 4.7默认:Anthropic模型选择全面升级,opus别名和图像理解默认切到Opus 4.7。
- Gemini TTS捆绑:Google插件内置文字转语音,支持语音选择、WAV输出和PCM电话输出。
- Model Auth状态卡片:一眼看OAuth令牌健康状态和provider限流压力,过期时高亮提醒。
- LanceDB云端存储:记忆索引可跑在远程对象存储,不再仅限本地磁盘。
- GitHub Copilot嵌入:新增Copilot embedding provider用于memory search,插件可复用transport。
- 本地模型精简模式:
localModelLean: true 自动砍掉browser/cron/message等重工具,弱鸡本地模型也能跑得动。
- 插件依赖本地化:捆绑插件运行时依赖隔离到各自扩展,核心不再背锅,发布包更瘦。
🛡️安全修复
- 内置工具名碰撞拒绝:客户端定义工具名若与内置工具normalize冲突,直接400。
- Matrix DM pairing-store不再授权房间控制命令。
- Webchat音频嵌入路径强制
localRoots 容纳。
- Replay 401错误分类为replay-invalid,自动引导/new重置。
⚡性能优化
- 默认启动/skills提示预算缩减,记忆检索默认限excerpt长度,长session拉取更少上下文。
- Dreaming默认存储模式从inline改separate,dream日记不再污染session数据。
🛡️ 安全警报:13个CVE修复 CRITICAL
4月9-10日OpenClaw集中修复13个CVE,平均CVSS 7.0,两个Critical级。所有 < 2026.4.5 的实例均受影响。
⚠️ 63%的公开OpenClaw实例无认证层!
在无认证实例上,CVE-2026-35639和CVE-2026-35641可远程利用,无需凭据。
| CVE | CVSS | 描述 |
|---|
| CVE-2026-35639 | 8.7 | device.pair.approve权限提升 |
| CVE-2026-35641 | 8.4 | .npmrc本地插件/钩子任意代码执行 |
| CVE-2026-35636 | 7.1 | sessionId解析绕过Session隔离 |
| CVE-2026-35668 | 7.1 | 未归一化mediaUrl绕过沙箱媒体根 |
| CVE-2026-35652 | 6.9 | 回调分发未授权操作执行 |
| CVE-2026-35664 | 6.9 | 遗留卡片回调绕过DM配对 |
| CVE-2026-35645 | 6.1 | 合成operator.admin权限提升 |
立即更新:docker pull openclaw/openclaw:latest && docker compose up -d
🌐 行业动态 TRENDING
- Agent基础设施竞赛白热化:Claude Code、OpenClaw、Anthropic、Visa纷纷加码agent基础设施和自动化,2026年4月成为Agent元年分水岭。
- OpenClaw GitHub 347,000+ Stars:从2025年11月的Clawdbot一路狂飙,2026年1月两次更名,3月突破25万星,4月已达34.7万。
- v2026.4.14 GPT-5.4智能路由:更智能的模型路由与恢复机制,Chrome CDP升级,消息平台可靠性全面增强。
- 本地安装安全争议:OpenClaw团队成员警告反对本地安装,在HN引发605点热议,安全vs便捷的辩论持续发酵。
- DenchClaw CRM集成:基于OpenClaw框架的本地CRM获得395点热度,商业自动化落地案例增多。