3.28でロブスターは新しい甲殻を手に入れた。殻は硬く、鋏は鋭く、臨戦態勢。
そこに現実が殴り込んできた。
CiscoのAIセキュリティチームが人気のコミュニティスキルを解析したところ、実質的にマルウェアだった——データを攻撃者のサーバーへ静かに送り出し、プロンプトインジェクションで安全ガイドラインを迂回していた。セキュリティ研究者は31,000のスキルをスキャンし、26%に少なくとも1つの脆弱性があることを確認した。ClawHavoc攻撃はClawHubに800以上の悪意あるスキルを埋め込んだ。ロブスターは新しい殻を得たが、海はもっと危険になっていた。
3日間で3リリース。3.31、4.1、4.2。これは機能スプリントではない——包囲戦だ。破壊的変更、セキュリティロックダウン、インフラの書き直し。すべてが一つの目的に向かっている:OpenClawをより攻撃しにくく、より制御しやすく、自分が何をしているかについて正直にすること。
いつものアドバイスを二倍の重みで:本番環境のロブスターは、読んでから上げろ。
プラグインインストールにバウンサーが立った
ワークフローを壊す可能性が最も高い変更が、最も必要な変更でもある。
以前はどんなスキルでもインストールできた。危険なコード、悪意のある依存関係、プロンプトインジェクションのペイロード——インストールは何事もなく成功し、手遅れになるまで気づくことはなかった。
もう終わりだ。OpenClawはプラグインインストールの前に毎回、内蔵の危険コードスキャンを実行する。重大な問題が検出されたらインストールは即座に失敗する。唯一の回避策は \--dangerously-force-unsafe-install\ フラグを明示的に付けること——タイプするときに一瞬ためらうように意図された命名だ。
背景がある。スキルエコシステムには信頼の問題があった。Ciscoはトップのコミュニティスキルがサイレントなcurlコマンドでユーザーデータを外部へ送信しているのを発見した。ClawHubは分析時点で2,857のスキルを収録し、そのうち341が複数のキャンペーンにわたって悪意あるものと確認された。その数は後に824以上に膨れ上がった。インストールゲートは遅すぎたが、必要な修正だ。
既知の脆弱性を持つパッケージに依存するスキルを管理している場合、またはゲートウェイ経由でスキル依存関係を取得している場合、アップグレード後にインストールが通らなくなる可能性が高い。対処法は依存ツリーをクリーンにするか、強制インストールを意識的に選択するかの二択。
xAIとFirecrawl:設定パスが移動した
xAI検索またはFirecrawlでのWebフェッチを使っているユーザーへ——設定パスが無効になっている。
xAI検索:\tools.web.x_search.<em class="italic text-slate-200">\ 配下のすべてが \plugins.entries.xai.config.xSearch.</em>\ へ移動。認証は \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\ に統一。
Firecrawl:旧パス \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ は廃止。新しいパスは \plugins.entries.firecrawl.config.webFetch.</em>\。web_fetchのフォールバックはFirecrawl専用のコア分岐ではなく、正規のfetch-provider境界を通るようになった。
朗報:\openclaw doctor --fix\ を一度実行すれば自動でマイグレーションが完了する。ただし、スクリプトや自動化パイプラインやCIが旧パスを直接参照している場合は手動修正が必要。
これはより大きなアーキテクチャの転換の一部だ。プロバイダー固有の設定がモノリシックなコアconfigからプラグイン管理の名前空間へ移動している。境界がクリーンになり、所有権が明確になる。
バックグラウンドタスクに脳が付いた
OpenClawのバックグラウンドタスクシステムが完全に再構築された。
以前はACPタスク、cronジョブ、サブエージェントタスクがそれぞれ独自の追跡メカニズムを持っていた——あるいはまったく持っていなかった。スタックしたタスクのデバッグは勘頼み。タスクのキャンセルは神頼み。
今はすべてが統一されたSQLiteバックドの台帳を通る。ACP、サブエージェント、cron、バックグラウンドCLI実行——すべてが適切なライフサイクル追跡、監査証跡、ステータス可視化を備えた一つのシステムに集約された。
ユーザーにとっての意味:
- •チャットセッションで \
/tasks\を打つだけで、そのセッションの全バックグラウンドタスクのライブダッシュボードが表示される。ステータス、最近のアクティビティ、フォールバック数が一目でわかる。 - •タスクがブロックされたら理由が表示される。 もう推測は不要。
- •グレースフルキャンセル。 タスクをキャンセルすると、進行中の作業が完了してから停止する。途中で強制終了しない。
- •ロストラン回復。 システムが孤立タスクを検出し、doctorリカバリーのヒントを提供する。
- •フロー制御。 \
openclaw flows list|show|cancel\でマルチタスクワークフローを線形に制御できる。
複雑な自動化を回している人——チェーンされたエージェント、スケジュールジョブ、バックグラウンド処理——にとって、タスクのデバッグが勘ではなく診断可能なものになった。
コマンド実行:錠前がさらに固くなった
セキュリティ強化が最も密に入った領域。コマンドの実行方法と実行権限に直接影響する変更がいくつかある。
ノードペアリングがコマンド権限を意味しなくなった。 以前はデバイスのペアリング完了で自動的にノードコマンドの実行権限が付与されていた。今はペアリングが明示的に承認されて初めてノードコマンドが有効になる。ペアリングフロー自体を悪用した権限昇格ベクターが塞がれた。
機密環境変数がシェル実行環境から除去された。 Pythonパッケージインデックスurl(\PIP_INDEX_URL\)、Dockerエンドポイント、TLS証明書パス、コンパイラパス——これらはリクエストスコープから実行環境への受け渡しが一切禁止された。文書化済みのサプライチェーン攻撃面が閉じられた。以前は環境変数を注入してパッケージ取得リクエストを悪意あるソースにリダイレクトできた。
\tools.exec.host=auto\ は純粋なルーティングフラグになった。 「サンドボックスがあれば使う」という暗黙の意味はなくなった。サンドボックスが存在しないときに明示的にサンドボックスを指定すると、サイレントにフォールバックするのではなく即座に失敗する。静かなダウングレードはもうない。
プラットフォーム別アップデート
エージェントがメッセージに絵文字でリアクションできるようになった。写真に❤️、確認に👍。「いい写真ですね!」と毎回タイプする必要がなくなった。
Telegram
グループ内の承認リクエストが元のトピックスレッドに留まるようになり、ルートチャットに逃げなくなった。エラークールダウン制御(\errorPolicy\ と \errorCooldownMs\)が追加され、同じ一時的エラーが繰り返し通知を洪水させない。
Matrix
ストリーミング返信が単一のメッセージ内でインプレース更新されるようになった。チャンクごとに新メッセージを送らない。メッセージ履歴コンテキストも利用可能になり、エージェントがトリガーされた会話の文脈を理解できる。
Slack
コマンド実行の承認リクエストがSlack内で完結できるようになった。Web UIやターミナルに飛ぶ必要はない。
Android
Google Assistant App Actionsに統合。音声アシスタントから直接OpenClawをトリガーし、プロンプトをチャットインターフェースに渡せる。
macOS
Voice Wakeでウェイクワードを使って会話モードを起動できる。ハンズフリー。
LINE
バンドルプラグインサポートが正式対応。画像・動画・音声のアウトバウンド送信能力が追加された。グローバルnpmインストールでのランタイムコントラクト解決も修正済み。
QQ Bot
完全なバンドルチャンネルプラグインとして登場。マルチアカウント設定、スラッシュコマンド、リマインダー、リッチメディアサポート。プライベートチャット、グループ@メッセージ、ギルドチャンネルに対応。
ゲートウェイ認証:暗黙の信頼は終了
セルフホスターは注目。
ゲートウェイの \trusted-proxy\ モードが、共有トークンを同時に使用する混合設定を拒否するようになった。ローカル直接接続のフォールバックは同一ホストからの呼び出し元を暗黙的に通さなくなった。明示的に設定されたトークンの提供が必須。
「同じマシンなら信頼」で動いていた環境は、アップグレード後に動作しなくなる。明示的な認証設定を追加すること。
共有認証のレート制限はWebSocketハンドシェイク中もアクティブのまま。Originヘッダーが不一致のtrusted-proxy HTTPリクエストは拒否される。
---
3.28はロブスターに鎧を着せた。3.31から4.2は爪の使い方を教えた。
プラグインインストールにはバウンサーがいる。バックグラウンドタスクには脳がある。設定パスにはクリーンな境界がある。実行環境から攻撃面が剥がされた。ゲートウェイは善意を仮定するのをやめ、クレデンシャルを要求する。
3リリース。3日間。セキュリティの防衛線が縮まり、その内側のすべてが壊しにくくなった。
ロブスターが爪を出した。許可なく手を伸ばすな。
