3.28 ha dato all'aragosta un'armatura nuova. Guscio indurito, chele affilate, pronta alla battaglia.
Poi la realtà ha bussato.
Il team di sicurezza AI di Cisco ha sezionato una skill comunitaria popolare e ha scoperto che era sostanzialmente un malware — esfiltrare dati in silenzio verso server controllati da attaccanti, usare prompt injection per aggirare le linee guida di sicurezza. I ricercatori hanno scansionato 31.000 skill: il 26% aveva almeno una vulnerabilità. La campagna ClawHavoc ha impiantato oltre 800 skill malevole in ClawHub. L'aragosta aveva un guscio nuovo, ma l'oceano era diventato più pericoloso.
Tre rilasci in tre giorni. 3.31, 4.1, 4.2. Non è uno sprint di funzionalità — è un assedio. Breaking change, lockdown di sicurezza e riscrittura dell'infrastruttura, tutto puntato su un obiettivo: rendere OpenClaw più difficile da attaccare, più facile da controllare e più onesto su quello che fa.
Il solito consiglio, a dose doppia: aragoste in produzione, leggete prima di aggiornare.
Le installazioni di plugin ora hanno un buttafuori
La modifica che ha più probabilità di rompere il tuo workflow è anche la più necessaria.
Prima si poteva installare qualsiasi skill, a prescindere da cosa nascondesse. Codice pericoloso, dipendenze malevole, payload di prompt injection — l'installazione andava a buon fine e non te ne accorgevi fino a quando non era troppo tardi.
Non più. OpenClaw esegue una scansione integrata del codice pericoloso prima di ogni installazione di plugin. Se vengono rilevati problemi critici, l'installazione fallisce immediatamente. L'unica via d'uscita è il flag esplicito \--dangerously-force-unsafe-install\ — un nome scelto per farti esitare mentre lo digiti.
Il contesto: l'ecosistema di skill aveva un problema di fiducia. Cisco ha scoperto che una skill comunitaria popolare esfiltra dati utente tramite comandi curl silenziosi. ClawHub ospitava 2.857 skill al momento dell'analisi, di cui 341 confermate malevole in più campagne. Il numero è poi salito a oltre 824. Il blocco all'installazione arriva tardi, ma era necessario.
Se mantieni skill che dipendono da pacchetti con vulnerabilità note, o scarichi dipendenze di skill attraverso il gateway, aspettati errori di installazione dopo l'aggiornamento. La soluzione: pulire l'albero delle dipendenze o scegliere consapevolmente l'installazione forzata.
xAI e Firecrawl: i percorsi di configurazione sono cambiati
Se usi la ricerca xAI o Firecrawl per il web fetching, i tuoi percorsi di configurazione sono ora invalidi.
Ricerca xAI: tutto sotto \tools.web.x_search.<em class="italic text-slate-200">\ migra a \plugins.entries.xai.config.xSearch.</em>\. L'autenticazione si standardizza su \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\.
Firecrawl: il vecchio percorso \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ non esiste più. Il nuovo indirizzo: \plugins.entries.firecrawl.config.webFetch.</em>\. Il fallback di web_fetch ora passa attraverso un confine fetch-provider pulito invece di un branch core esclusivo di Firecrawl.
Buona notizia: eseguire \openclaw doctor --fix\ una volta completa la migrazione automaticamente. Ma se hai script, automazioni o pipeline CI che referenziano direttamente i vecchi percorsi, quelli vanno aggiornati a mano.
Questo fa parte di un cambio architetturale più ampio: le impostazioni specifiche dei provider si stanno spostando dal config monolitico centrale a namespace gestiti dai plugin. Confini più netti, ownership più chiara.
Le attività in background hanno un cervello
Il sistema di attività in background di OpenClaw è stato completamente ricostruito.
Prima, le attività ACP, i job cron e le attività subagent avevano ciascuno i propri meccanismi di tracciamento — o non ne avevano affatto. Fare debug di un task bloccato era tirare a indovinare. Cancellare un task era un atto di fede.
Ora tutto passa attraverso un registro unificato su SQLite. ACP, subagent, cron ed esecuzione CLI in background confluiscono in un unico sistema con tracciamento del ciclo di vita, audit trail e visibilità dello stato.
Cosa cambia per gli utenti:
- •\
/tasks\in qualsiasi sessione di chat mostra una dashboard in tempo reale di tutte le attività in background della sessione — stato, attività recente e contatori di fallback a colpo d'occhio. - •I task bloccati mostrano il motivo. Basta tirare a indovinare.
- •Cancellazione elegante. I task cancellati aspettano che il lavoro attivo finisca prima di fermarsi. Niente interruzioni brutali.
- •Recupero delle esecuzioni perse. Il sistema rileva i task orfani e fornisce suggerimenti di recupero via doctor.
- •Controllo dei flussi. \
openclaw flows list|show|cancel\offre una superficie di controllo lineare sui workflow multi-task.
Per chi gestisce automazioni complesse — agenti concatenati, job programmati, elaborazione in background — il debug delle attività passa dall'ipotesi alla diagnosi.
Esecuzione comandi: le serrature si stringono
L'area con il rafforzamento della sicurezza più denso. Diverse modifiche impattano direttamente come i comandi vengono eseguiti e chi può eseguirli.
L'abbinamento del nodo non equivale più al permesso di esecuzione. Prima, completare l'abbinamento del dispositivo concedeva automaticamente i diritti di esecuzione dei comandi sul nodo. Ora l'abbinamento deve essere approvato esplicitamente prima che i comandi vengano attivati. Un vettore di escalation dei privilegi attraverso il flusso di abbinamento è stato chiuso.
Le variabili d'ambiente sensibili vengono rimosse dall'ambiente di esecuzione shell. URL dell'indice dei pacchetti Python (\PIP_INDEX_URL\), endpoint Docker, percorsi dei certificati TLS, percorsi del compilatore — tutto bloccato dal passare dallo scope della richiesta all'ambiente di esecuzione. Una superficie di attacco alla supply chain documentata è stata chiusa: prima gli attaccanti potevano iniettare variabili d'ambiente per reindirizzare i download dei pacchetti verso fonti malevole.
\tools.exec.host=auto\ è ora un flag di routing puro. Non implica più "usa la sandbox se disponibile". Se non esiste sandbox e ne viene richiesta una esplicitamente, fallisce immediatamente invece di degradare silenziosamente a esecuzione senza sandbox. Niente più downgrade silenziosi.
Aggiornamenti per piattaforma
Gli agenti possono reagire ai messaggi con emoji — un ❤️ su una foto, un 👍 su una conferma. Senza dover digitare "Bella foto!" ogni volta.
Telegram
Le richieste di approvazione nei gruppi restano nel thread del topic originale, senza scappare nella chat root. I controlli di cooldown degli errori (\errorPolicy\ e \errorCooldownMs\) impediscono allo stesso errore transitorio di inondare le notifiche.
Matrix
Le risposte in streaming si aggiornano in-place all'interno di un singolo messaggio, senza inviarne uno nuovo per ogni chunk. È disponibile anche il contesto della cronologia dei messaggi, così gli agenti capiscono la conversazione che li ha attivati.
Slack
Le richieste di approvazione per l'esecuzione di comandi possono essere completate interamente in Slack — senza saltare alla web UI o al terminale.
Android
L'integrazione Google Assistant App Actions permette di attivare OpenClaw direttamente dall'assistente vocale, passando i prompt nell'interfaccia di chat.
macOS
Voice Wake attiva la modalità conversazione con una parola di attivazione. A mani libere.
LINE
Supporto plugin bundled con invio in uscita di immagini, video e audio. La risoluzione del contratto runtime nelle installazioni npm globali è stata corretta.
QQ Bot
Plugin di canale bundled completo: configurazione multi-account, comandi slash, promemoria e supporto rich media per chat privata, messaggi @gruppo e canali guild.
Autenticazione del gateway: basta fiducia implicita
Self-hoster, attenzione.
La modalità \trusted-proxy\ del gateway ora rifiuta configurazioni miste che usano contemporaneamente token condivisi. Il fallback di connessione diretta locale non lascia più passare implicitamente i chiamanti dallo stesso host — un token configurato esplicitamente è obbligatorio.
Se il tuo ambiente funzionava con "stessa macchina = fiducia", si romperà dopo l'aggiornamento. Aggiungi configurazione di autenticazione esplicita.
Il rate limiting dell'autenticazione condivisa resta attivo durante i tentativi di handshake WebSocket, e le richieste HTTP trusted-proxy con header Origin non corrispondenti vengono rifiutate.
---
3.28 ha blindato l'aragosta. Da 3.31 a 4.2 le hanno insegnato a combattere.
Le installazioni di plugin hanno un buttafuori. Le attività in background hanno un cervello. I percorsi di configurazione hanno confini netti. Gli ambienti di esecuzione sono stati ripuliti dalla superficie d'attacco. Il gateway pretende credenziali invece di presumere buona fede.
Tre rilasci. Tre giorni. Il perimetro di sicurezza si è ristretto, e tutto al suo interno è diventato più difficile da violare.
L'aragosta ha tirato fuori le chele. Non allungare la mano senza permesso.
