OpenClaw 3.31–4.2: Krallen raus — Plugin-Lockdown, Task-Gehirn und Sicherheitsoffensive

3.28 hat dem Hummer einen neuen Panzer verpasst. Härter, dichter, kampfbereit.

Dann hat ihn die Realität eingeholt.

Ciscos KI-Sicherheitsteam hat ein beliebtes Community-Skill zerlegt und festgestellt, dass es im Grunde Malware war — es schickte still Daten an Angreifer-Server und umging mit Prompt Injection die Sicherheitsrichtlinien. Sicherheitsforscher scannten 31.000 Skills und fanden bei 26 % mindestens eine Schwachstelle. Die ClawHavoc-Kampagne schleusten über 800 bösartige Skills in ClawHub ein. Der Hummer hatte einen neuen Panzer, aber das Meer war gefährlicher geworden.

Drei Releases in drei Tagen. 3.31, 4.1, 4.2. Das ist kein Feature-Sprint — es ist eine Belagerung. Breaking Changes, Sicherheits-Lockdowns und Infrastruktur-Umbauten, die alle auf eines abzielen: OpenClaw schwerer angreifbar, leichter kontrollierbar und ehrlicher in dem zu machen, was es tut.

Der übliche Rat gilt doppelt: Produktions-Hummer, erst lesen, dann upgraden.

Plugin-Installationen haben jetzt einen Türsteher

Die Änderung, die deinen Workflow am ehesten kaputt macht, ist gleichzeitig die nötigste.

Bisher konnte man jedes Skill installieren, egal was darin steckte. Gefährlicher Code, bösartige Abhängigkeiten, Prompt-Injection-Payloads — die Installation lief glatt durch, und man merkte nichts, bis es zu spät war.

Das ist vorbei. OpenClaw führt vor jeder Plugin-Installation einen integrierten Dangerous-Code-Scan durch. Werden kritische Probleme erkannt, schlägt die Installation sofort fehl. Der einzige Weg drumherum ist das explizite \--dangerously-force-unsafe-install\-Flag — ein Name, der dich beim Tippen zum Nachdenken bringen soll.

Der Hintergrund: Das Skill-Ökosystem hatte ein Vertrauensproblem. Cisco entdeckte, dass ein Top-Community-Skill per stiller curl-Befehle Nutzerdaten nach außen schleuste. ClawHub enthielt zum Analysezeitpunkt 2.857 Skills, wovon 341 über mehrere Kampagnen hinweg als bösartig bestätigt wurden. Später stieg die Zahl auf über 824. Das Installations-Gate kommt spät, ist aber nötig.

Wer Skills pflegt, die von Paketen mit bekannten Schwachstellen abhängen, oder Skill-Abhängigkeiten über das Gateway bezieht, muss nach dem Upgrade mit Installationsfehlern rechnen. Die Lösung: entweder den Dependency-Baum aufräumen oder bewusst die Zwangsinstallation wählen.

xAI und Firecrawl: Config-Pfade sind umgezogen

Wer xAI-Suche oder Firecrawl zum Web-Fetching nutzt, hat jetzt ungültige Konfigurationspfade.

xAI-Suche: Alles unter \tools.web.x_search.<em class="italic text-slate-200">\ wandert nach \plugins.entries.xai.config.xSearch.</em>\. Authentifizierung wird auf \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\ vereinheitlicht.

Firecrawl: Der alte Pfad \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ ist Geschichte. Die neue Adresse: \plugins.entries.firecrawl.config.webFetch.</em>\. Das web_fetch-Fallback läuft jetzt über eine saubere fetch-provider-Grenze statt durch einen Firecrawl-exklusiven Core-Branch.

Gute Nachricht: Einmal \openclaw doctor --fix\ ausführen erledigt die Migration automatisch. Aber Skripte, Automatisierungen oder CI-Pipelines, die alte Pfade direkt referenzieren, müssen manuell angepasst werden.

Das ist Teil einer größeren Architektur-Umstellung: Provider-spezifische Einstellungen ziehen aus dem monolithischen Core-Config in Plugin-eigene Namespaces um. Klarere Grenzen, klarere Zuständigkeiten.

Hintergrundaufgaben haben jetzt ein Gehirn

OpenClaws Hintergrundaufgaben-System wurde komplett neu gebaut.

Vorher hatten ACP-Tasks, Cron-Jobs und Subagent-Tasks jeweils eigene Tracking-Mechanismen — oder gar keine. Debugging eines hängenden Tasks war Ratespiel. Einen Task abbrechen hieß hoffen.

Jetzt läuft alles über ein einheitliches, SQLite-gestütztes Task-Hauptbuch. ACP, Subagent, Cron und Background-CLI-Ausführung fließen in ein System mit ordentlichem Lifecycle-Tracking, Audit-Trail und Status-Sichtbarkeit.

Was das für Nutzer bedeutet:

• •\/tasks\ im Chat zeigt ein Live-Dashboard aller Hintergrundaufgaben der aktuellen Session — Status, letzte Aktivität und Fallback-Counts auf einen Blick.
• •Blockierte Tasks zeigen Gründe. Kein Raten mehr.
• •Graceful Cancellation. Abgebrochene Tasks warten, bis laufende Arbeit fertig ist, statt mitten drin abzuwürgen.
• •Lost-Run-Recovery. Das System erkennt verwaiste Tasks und liefert Doctor-Recovery-Hinweise.
• •Flow-Steuerung. \openclaw flows list|show|cancel\ gibt dir eine lineare Steuerfläche für Multi-Task-Workflows.

Für alle, die komplexe Automationen fahren — verkettete Agents, geplante Jobs, Hintergrundverarbeitung — wird Task-Debugging von Raterei zu etwas Diagnostizierbarem.

Befehlsausführung: Die Schlösser werden fester

Hier trifft die Sicherheitsverstärkung am härtesten. Mehrere Änderungen betreffen direkt, wie Befehle laufen und wer sie ausführen darf.

Node-Pairing heißt nicht mehr automatisch Befehlsberechtigung. Bisher wurde nach dem Geräte-Pairing automatisch die Berechtigung für Node-Befehle erteilt. Jetzt muss das Pairing explizit genehmigt werden, bevor Node-Befehle freigeschaltet werden. Das schließt einen Privilege-Escalation-Vektor über den Pairing-Flow.

Sensible Umgebungsvariablen werden aus der Shell-Ausführungsumgebung entfernt. Python-Paketindex-URLs (\PIP_INDEX_URL\), Docker-Endpoints, TLS-Zertifikatspfade, Compiler-Pfade — all das kann nicht mehr über den Request-Scope in die Ausführungsumgebung gelangen. Das schließt eine dokumentierte Supply-Chain-Angriffsfläche, über die Angreifer per injizierter Umgebungsvariablen Paket-Downloads auf bösartige Quellen umleiten konnten.

\tools.exec.host=auto\ ist jetzt ein reines Routing-Flag. Es bedeutet nicht mehr implizit „nutze die Sandbox, wenn vorhanden". Wenn keine Sandbox existiert und explizit eine angefordert wird, schlägt es sofort fehl statt still auf Sandbox-lose Ausführung auszuweichen. Keine stillen Downgrades mehr.

Plattform-Updates

WhatsApp

Agents können jetzt mit Emoji auf Nachrichten reagieren — ein ❤️ auf ein Foto, ein 👍 auf eine Bestätigung. Statt jedes Mal „Schönes Foto!" zu tippen.

Telegram

Genehmigungsanfragen in Gruppen bleiben jetzt im ursprünglichen Topic-Thread, statt in den Root-Chat zu entkommen. Error-Cooldown-Kontrollen (\errorPolicy\ und \errorCooldownMs\) unterdrücken wiederholte Zustellfehler pro Account, Chat und Topic, ohne unterschiedliche Fehler stumm zu schalten.

Matrix

Streaming-Antworten aktualisieren sich jetzt in-place innerhalb einer Nachricht, statt pro Chunk eine neue zu senden. Nachrichten-Historien-Kontext ist ebenfalls verfügbar, sodass Agents den Gesprächshintergrund beim Auslösen verstehen.

Slack

Befehls-Genehmigungs-Anfragen können jetzt komplett in Slack abgewickelt werden — kein Wechsel zur Web-UI oder zum Terminal nötig.

Android

Google Assistant App Actions-Integration erlaubt es, OpenClaw direkt vom Sprachassistenten zu triggern und Prompts in die Chat-Oberfläche zu übergeben.

macOS

Voice Wake aktiviert den Gesprächsmodus per Aufwach-Wort. Freihändig.

LINE

Bundled-Plugin-Support mit ausgehender Bild-, Video- und Audio-Versendung. Die Runtime-Contract-Auflösung bei globalen npm-Installationen wurde repariert.

QQ Bot

Vollständiges Bundled-Channel-Plugin mit Multi-Account-Setup, Slash-Befehlen, Erinnerungen und Rich-Media-Support für Privatchats, Gruppen-@-Nachrichten und Guild-Channels.

Gateway-Authentifizierung: Kein implizites Vertrauen mehr

Für Self-Hoster wichtig.

Der \trusted-proxy\-Modus des Gateways lehnt jetzt Mischkonfigurationen ab, die gleichzeitig Shared Tokens verwenden. Das lokale Direkt-Verbindungs-Fallback vertraut Aufrufern vom selben Host nicht mehr implizit — ein explizit konfiguriertes Token muss bereitgestellt werden.

Wer bisher mit „gleiche Maschine = vertrauenswürdig" gefahren ist, wird nach dem Upgrade Probleme haben. Explizite Authentifizierungs-Konfiguration nachrüsten.

Shared-Auth-Rate-Limiting bleibt auch während WebSocket-Handshakes aktiv, und nicht übereinstimmende Browser-Origin-Header bei trusted-proxy-HTTP-Anfragen werden abgelehnt.

---

3.28 hat dem Hummer seinen Panzer gegeben. 3.31 bis 4.2 haben ihm beigebracht, die Scheren einzusetzen.

Plugin-Installationen haben einen Türsteher. Hintergrundaufgaben haben ein Gehirn. Config-Pfade haben saubere Grenzen. Ausführungsumgebungen wurden von Angriffsfläche befreit. Das Gateway verlangt Credentials, statt auf guten Glauben zu setzen.

Drei Releases. Drei Tage. Der Sicherheitsperimeter hat sich zusammengezogen, und alles darin ist schwerer zu knacken.

Der Hummer hat die Scheren draußen. Nicht ohne Erlaubnis reingreifen.