9 Tage seit 3.13. Die längste Pause zwischen OpenClaw-Releases seit Monaten. Als das Changelog endlich kam, war klar warum: 12 Breaking Changes, über 30 Sicherheits-Patches, über 100 Stabilitäts-Fixes, 7 neue Model-Provider und ein fundamentaler Umbruch in der Plugin-Verwaltung.
Kein inkrementelles Update. Die Version, in der OpenClaw seine Legacy-Rohre herausgerissen und das Fundament neu gebaut hat.
Der Reihe nach.
ClawHub: Die große Plugin-Migration
Die wichtigste Änderung in 3.22 klingt harmlos: openclaw plugins install prüft jetzt ClawHub vor npm.
Dieser eine Satz schreibt die Plugin-Ökonomie um. ClawHub ist OpenClaws native Paket-Registry — gebaut für Plugin-Discovery, Versionierung und Trust-Verifikation. npm war immer ein geliehenes Haus; ClawHub ist das erste, das OpenClaw wirklich besitzt.
Was gleichzeitig mitkommt:
- •Native install/search/update-Flows:
openclaw skills search|install|updateplusopenclaw plugins install clawhub:mit getrackten Update-Metadaten - •Claude/Codex/Cursor-Bundle-Support: Kompatible Bundle-Erkennung und -Installation, Mapping von Bundle-Skills auf OpenClaw-Skills
- •Claude-Marketplace-Registry: plugin@marketplace-Installs, Marketplace-Listing und Updates
- •Plugin-SDK-Überholung: Die neue öffentliche Oberfläche ist
openclaw/plugin-sdk/*— das alte monolithischeopenclaw/extension-apiwird ohne Kompatibilitäts-Shim entfernt - •Plugin-SDK-Testing-Oberfläche: Öffentliche
openclaw/plugin-sdk/testing-Oberfläche für Test-Helper - •Memory-Plugin-System-Prompt-Support: Das aktive Memory-Plugin kann jetzt einen eigenen System-Prompt-Abschnitt registrieren
Die Plugin-SDK-Änderung ist die strukturelle Voraussetzung für alles Weitere. Durch Standardisierung auf schmale openclaw/plugin-sdk/*-Subpfade statt einer monolithischen Wurzel bekommt jedes Plugin einen kleineren, stabileren API-Vertrag.
12 Breaking Changes: Technische Schulden auf einen Schlag tilgen
Zwölf Breaking Changes in einem Release. Klingt aggressiv. Zusammen gelesen erzählen sie eine Geschichte: OpenClaw verbrennt die letzten Brücken zur Pre-1.0-Architektur.
Plugin-Ökosystem (4)
- 1.ClawHub ersetzt npm als Standard-Plugin-Quelle. npm-Fallback bleibt, aber ClawHub hat Vorrang
- 2.Plugin-SDK-Oberfläche geändert auf
openclaw/plugin-sdk/*— kein Kompatibilitäts-Shim - 3.Chrome-MCP-Extension-Relay entfernt — Legacy-Relay-Pfad, gebündelte Extension-Assets und
driver: "extension"weg.openclaw doctor --fixfür Migration - 4.Bildgenerierung standardisiert — nano-banana-pro-Docs entfernt.
agents.defaults.imageGenerationModelverwenden
Legacy-Bereinigung (3)
- 5.Legacy-Umgebungsvariablen entfernt:
CLAWDBOT_undMOLTBOT_komplett entfernt.OPENCLAW_*verwenden - 6.Legacy-State-Verzeichnis entfernt:
.moltbotundmoltbot.json-Auto-Detection weg. Zu~/.openclawmigrieren - 7.Message-Discovery-Adapter geändert:
ChannelMessageActionAdapter.describeMessageTool(...)erforderlich
Sicherheit und Sandbox (3)
- 8.Exec-Env-Sandbox erweitert: Blockiert JVM-Injection, glibc-Tunable-Exploitation und .NET-Dependency-Hijack
- 9.Time-Wrapper transparent:
timewird bei Allowlist-Auswertung als transparenter Dispatch-Wrapper behandelt - 10.Voice-Call-Webhook-Härtung: Fehlende Signatur-Header werden vor Body-Read abgewiesen, Pre-Auth-Budget auf 64 KB / 5s reduziert
Plattform-Protokolle (2)
- 11.Discord Carbon Reconcile: Natives Command-Deployment wechselt standardmäßig auf Carbon Reconcile
- 12.Matrix-Plugin-Neuentwicklung: Neues Plugin basierend auf offiziellem
matrix-js-sdk
Zwölf Breaking Changes in einer Version. Rückblickend war jeder dieser Schnitte überfällig.
Sicherheit: 30+ Härtungen, von SMB bis SSRF bis Hangul
Der Sicherheitsabschnitt in 3.22 ist massiv — über 30 Patches statt 3 wie in 3.13. Nach Angriffsfläche gruppiert:
Netzwerk- und Protokollschicht
- •Windows-SMB-Credential-Leak blockiert: Remote-Host-
file://-URLs und UNC-Pfade werden vor lokaler Dateisystem-Auflösung blockiert - •SSRF-Pinning gehärtet: Explicit-Proxy-SSRF-Pinning übersetzt Transport-Hints auf HTTPS-Proxy-Tunnel
- •Gateway-Auth-Scope gehärtet: Gefälschte Loopback-Hops in Trusted-Forwarding-Chains werden ignoriert
- •Gateway-Discovery fail-closed: Unaufgelöste Bonjour- und DNS-SD-Endpoints scheitern geschlossen
- •Medien-Error-Body-Grenzen: Gleiche Streaming-Caps wie erfolgreiche Downloads
Sandbox- und Ausführungsschicht
- •Plugin-Marketplace-Manifest-Sandboxing: Ablehnung von Einträgen, die außerhalb des geklonten Repos installieren
- •jq aus Safe-Bin-Whitelist entfernt: Kein Host-Secret-Dump ohne expliziten Trust-Pfad
- •macOS-Exec-HMAC-Verifikation: Timing-safe-Vergleich, fehlerhafte Signaturen fail-closed
- •Workspace-Hooks-Gating: Repo-lokale Hooks bleiben deaktiviert bis zur expliziten Freigabe
Identitäts- und Authentifizierungsschicht
- •Geräte-Pairing an Profil gebunden: iOS-Setup-Codes an beabsichtigtes Node-Profil gebunden
- •Synology-Chat-user_id-Binding: Antwort-Zustellung standardmäßig an stabile numerische
user_id - •Browser-Node-Proxy-Enforcement:
nodeHost.browserProxy.allowProfilesdurchgesetzt - •Geräte-Token-Rotation gehärtet: Öffentliche Fehler bleiben generisch, interne Gründe geloggt
Encoding- und Injection-Schicht
- •Hangul-Filler-Escape: Leere Hangul-Filler-Codepoints in Approval-Prompts escaped
- •Nostr-DM-Pre-Crypto-Policy: Inbound-DM-Policy vor Entschlüsselung durchgesetzt
- •LINE-Webhook-Parsing: Verifizierter Raw-Body erzwungen
- •E-Mail-Webhook-Metadaten-Sanitisierung: Absender und Betreff vor External-Content-Wrapping bereinigt
| Angriffsfläche | Fixes |
|---|---|
| Netzwerk & Protokoll | 5 |
| Sandbox & Ausführung | 5 |
| Identität & Auth | 5+ |
| Encoding & Injection | 5+ |
| Plattformspezifisch | 10+ |
| Gesamt | 30+ |
Diese Patches landen auf keinem Werbeplakat. Aber sie entscheiden, wer OpenClaw in Produktion einsetzt. Vertrauenswürdig zu sein ist schwerer als nützlich zu sein.
Performance: Gateway-Kaltstart transformiert
Die spürbarste Performance-Verbesserung: Das Gateway kompiliert beim Start nicht mehr gebündelte Extension-TypeScript-Dateien neu. WhatsApp-Klasse-Kaltstarts fallen von Dutzenden Sekunden auf Sekunden.
Weitere Änderungen:
- •Modell-Prewarm: Konfiguriertes Primärmodell wird vor Channel-Start vorgewärmt
- •Lazy-Loading im gesamten Stack: Channel-Add, Plugin-/Provider-Fallback, Discord-Runtime — alles lazy
- •Agent-Modellkatalog-Cache: Nach Config und Auth-File gecacht
- •Session-Cache-Sweep: Abgelaufene Einträge werden opportunistisch aufgeräumt
Neue Features im Überblick
Such-Ökosystem
- •Exa: Native Datumsfilter, Suchmodus-Auswahl, optionale Inhaltsextraktion
- •Tavily: Dedizierte
tavily_search- undtavily_extract-Tools - •Firecrawl:
firecrawl_searchundfirecrawl_scrapemit Base-URL/Env-Fallback
Sandbox und Tools
- •Steckbare Sandbox-Backends: OpenShell und SSH-Backend mitgeliefert
- •Chromium-Browser-Profile:
browser.profiles.für Brave, Edge und andere.userDataDir
Interaktion
- •/btw-Seitenfragen: Schnelle werkzeuglose Antworten zur aktuellen Session
- •Control-UI-Canvas-Erweiterung: Expand-Button auf Assistenten-Chat-Blasen
- •Rundungs-Slider: Eckenradius in den Darstellungseinstellungen anpassen
- •Per-Agent-Thinking/Reasoning/Fast-Defaults: Nicht erlaubte Modell-Overrides werden automatisch zurückgesetzt
CLI und Konfiguration
- •CLI config set erweitert: SecretRef, Provider-Builder, JSON/Batch,
--dry-run - •Gateway-Health-Monitor: Konfigurierbare Schwellenwerte und Restart-Limits
- •Installation von GitHub main:
openclaw update --tag main
Modell-Provider: Das Wettrüsten geht weiter
| Provider | Änderung |
|---|---|
| OpenAI | Standard-Setup-Modell auf openai/gpt-5.4. Forward-Compat für gpt-5.4-mini/gpt-5.4-nano |
| Anthropic Vertex | Neuer Core-Provider für Claude über Google Vertex AI |
| Chutes | Neuer gebündelter Provider mit OAuth/API-Key-Auth |
| MiniMax | M2.7 hinzugefügt, Standard von M2.5 auf M2.7. Vereinheitlichte Plugin-Oberfläche |
| xAI | Grok-Katalog auf aktuelle Pi-IDs synchronisiert |
| Z.AI | GLM-Katalog mit 4.5/4.6-Familien synchronisiert |
| Xiaomi | Wechsel auf /v1-OpenAI-kompatiblen Endpoint. MiMo V2 Pro und Omni |
| Mistral | Standard-Metadaten mit aktuellen Pi-Preisen synchronisiert |
| GitHub Copilot | Forward-kompatible dynamische Modell-IDs |
Plattform-Verbesserungen auf ganzer Linie
Android
- •Systemweites Dark Theme über Onboarding und Hauptbildschirme
- •Talk-Sprach-Migration hinter Gateway
talk.speak - •Anrufprotokoll- und SMS-Suche mit geteilten Berechtigungen
- •Kontaktsuche-Fix:
%und_in Namensabfragen escaped - •Kamera-Speicher-Fix: Bitmap-Recycling für Snapshots
Telegram
- •Custom-Bot-API-Endpoints: Pro-Account-Support für selbst gehostete Deployments
- •Auto-Rename für DM-Topics: LLM-generierte Labels beim ersten Nachricht
- •Topic-Edit-Action: Umbenennung und Icon-Updates
- •Stille Fehlerantworten:
channels.telegram.silentErrorRepliesstandardmäßig aus - •Netzwerk-Stabilität: Sticky-IPv4-Fallback bleibt über Polling-Neustarts erhalten
Feishu (Lark)
- •Interaktive Genehmigungs- und Quick-Action-Karten
- •ACP- und Sub-Agent-Session-Binding
- •Reasoning-Stream: Thinking-Tokens als Markdown-Zitat-Blöcke
- •Identitätsbewusste Karten-Header und -Footer
- •Erweiterte Action-Oberfläche: Nachricht lesen/bearbeiten, Thread-Antworten, Pinning
Matrix
- •Komplett neues Plugin auf Basis des offiziellen
matrix-js-sdk - •allowBots-Room-Policy
- •Private-Network-Opt-in: Pro-Account
allowPrivateNetwork - •Dauerhafte Event-Deduplizierung über Gateway-Neustarts
- •Mention-Gated-Binding-Fix
Discord
- •Carbon Reconcile für natives Command-Deployment
- •Strikte DM-Component-Whitelist-Auth
- •ACP-Abort-Forwarding
- •Reconnect-Fix: Append-Recency-Filter im Inbox-Monitor wiederhergestellt
- •Active-Listener-Singleton
- •Login-Fix: Wartet auf Creds-Write vor Reopening
100+ Stabilitäts-Fixes: Die Tabelle spricht
| Bereich | Wichtige Fixes |
|---|---|
| Agent-Kompaktierung | Verwaiste tool_result nach Compact, Overflow-Recovery, JSONL-Truncation opt-in |
| Agent-Runtime | Tool-Call-ID-Dedup, prompt_cache-Felder entfernt, Klartext-Fehler bei Timeouts |
| Plugin-Runtime | Singleton-State-Sharing, Context-Engine-Delegation, Bundler-TDZ-Fix |
| Gateway | WS-Handshake-Timeout auf 10s, Orphan-Run-Recovery, serialisierter Channel-Start |
| Control UI | Settings-Keys nach Gateway-Pfad, Provider-Prefix bei Modellwechsel erhalten |
| Telegram | getUpdates-Hard-Timeout, DM-Topic-Session-Keys, Mention-Gated-Gruppen-Default |
Zahlen auf einen Blick
| Metrik | 3.13 | 3.22 |
|---|---|---|
| Breaking Changes | 0 | 12 |
| Sicherheits-Fixes | 3 | 30+ |
| Stabilitäts-Patches | 70+ | 100+ |
| Neue Modell-Provider | 0 | 7 |
| Neue Web-Search-Plugins | 0 | 3 |
| Plugin-Quelle | npm | ClawHub |
| Gateway-Kaltstart | Dutzende Sekunden | Sekunden |
| Standard-Agent-Timeout | 600s | 48h |
| Gedankte Contributors | ~10 | 80+ |
---
3.22 ist nicht das Release, das mit einem glänzenden neuen Feature Schlagzeilen macht. Es ist eine Operation — Brustkorb öffnen, Motor tauschen, zunähen, schneller laufen als vorher.
12 Breaking Changes sind kein Chaos. Sie verbrennen alte Karten. ClawHub live, Sicherheitsflächen rundum gehärtet, Gateway-Kaltstart wiedergeboren — zusammen bedeuten diese drei Dinge: OpenClaw hat den Schritt vom „schnell iterierenden Open-Source-Projekt" zur „Infrastruktur, auf die man sich wirklich verlassen kann" gemacht.
Der Hummer hat sich wieder gehäutet. Diesmal — mitsamt dem Skelett.
