OpenClaw 3.31–4.2: Scharen uit — Plugin-lockdown, taakbrein en beveiligingsoffensief

3.28 gaf de kreeft een nieuw harnas. Pantser uitgehard, scharen geslepen, klaar voor de strijd.

Toen kwam de realiteit langs.

Het AI-beveiligingsteam van Cisco ontleedde een populaire community-skill en ontdekte dat het in feite malware was — het sluisde stilletjes data door naar servers van aanvallers en omzeilde de beveiligingsrichtlijnen via prompt injection. Beveiligingsonderzoekers scanden 31.000 skills: 26% had minstens één kwetsbaarheid. De ClawHavoc-campagne plantte meer dan 800 kwaadaardige skills in ClawHub. De kreeft had een nieuw pantser, maar de oceaan was gevaarlijker geworden.

Drie releases in drie dagen. 3.31, 4.1, 4.2. Dit is geen feature-sprint — het is een belegering. Breaking changes, beveiligingslockdowns en infrastructuur-herschrijvingen, allemaal gericht op één doel: OpenClaw moeilijker aanvallen, makkelijker beheersen, en eerlijker over wat het doet.

Het gebruikelijke advies, in dubbele dosis: productie-kreeften, lees eerst, upgrade dan.

Plugin-installaties hebben nu een uitsmijter

De wijziging die het meest waarschijnlijk je workflow breekt, is tegelijk de meest noodzakelijke.

Voorheen kon je elke skill installeren, ongeacht de inhoud. Gevaarlijke code, kwaadaardige dependencies, prompt-injection-payloads — de installatie liep gewoon door, en je merkte het pas als het te laat was.

Dat is voorbij. OpenClaw voert voor elke plugin-installatie een ingebouwde scan op gevaarlijke code uit. Als kritieke problemen worden gedetecteerd, mislukt de installatie onmiddellijk. De enige omweg: de expliciete \--dangerously-force-unsafe-install\-flag — een naam die je moet laten aarzelen terwijl je hem typt.

De achtergrond: het skill-ecosysteem had een vertrouwensprobleem. Cisco ontdekte dat een populaire community-skill gebruikersdata exfiltreerde via stille curl-commando's. ClawHub bevatte op het moment van analyse 2.857 skills, waarvan 341 bevestigd kwaadaardig over meerdere campagnes. Later groeide dat naar 824+. De installatie-poort komt laat, maar was noodzakelijk.

Als je skills onderhoudt die afhangen van pakketten met bekende kwetsbaarheden, of skill-dependencies via de gateway ophaalt, verwacht installatieproblemen na de upgrade. De oplossing: je dependency-boom opschonen of bewust kiezen voor geforceerde installatie.

xAI en Firecrawl: config-paden zijn verhuisd

Als je xAI-zoeken of Firecrawl voor web-fetching gebruikt, zijn je configuratiepaden nu ongeldig.

xAI-zoeken: alles onder \tools.web.x_search.<em class="italic text-slate-200">\ verhuist naar \plugins.entries.xai.config.xSearch.</em>\. Authenticatie wordt gestandaardiseerd op \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\.

Firecrawl: het oude pad \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ bestaat niet meer. Het nieuwe adres: \plugins.entries.firecrawl.config.webFetch.</em>\. De web_fetch-fallback loopt nu via een schone fetch-provider-grens in plaats van een Firecrawl-exclusieve core-branch.

Goed nieuws: één keer \openclaw doctor --fix\ draaien doet de migratie automatisch. Maar scripts, automatiseringen of CI-pipelines die direct naar oude paden verwijzen, moeten handmatig worden bijgewerkt.

Dit is onderdeel van een bredere architectuurverandering: provider-specifieke instellingen verhuizen van de monolithische core-config naar plugin-beheerde namespaces. Schonere grenzen, duidelijker eigenaarschap.

Achtergrondtaken hebben nu een brein

Het achtergrondtakensysteem van OpenClaw is volledig herbouwd.

Voorheen hadden ACP-taken, cron-jobs en subagent-taken elk hun eigen tracking-mechanismen — of helemaal geen. Debuggen van een vastgelopen taak was gokken. Een taak annuleren was hopen op het beste.

Nu loopt alles via een uniform, SQLite-ondersteund grootboek. ACP, subagent, cron en achtergrond-CLI-uitvoering voeden allemaal één systeem met fatsoenlijke lifecycle-tracking, audit-trails en statusvisibiliteit.

Wat dit betekent voor gebruikers:

• •\/tasks\ in elke chatsessie toont een live dashboard van alle achtergrondtaken voor die sessie — status, recente activiteit en fallback-counts in één oogopslag.
• •Geblokkeerde taken tonen redenen. Niet meer gokken.
• •Sierlijke annulering. Geannuleerde taken wachten tot actief werk klaar is voordat ze stoppen. Geen harde onderbrekingen.
• •Lost-run-recovery. Het systeem detecteert wezen-taken en geeft doctor-recovery-hints.
• •Flow-besturing. \openclaw flows list|show|cancel\ geeft je een lineair besturingsvlak over multi-task-workflows.

Voor iedereen die complexe automatiseringen draait — geketende agents, geplande jobs, achtergrondverwerking — wordt taak-debugging van gokken naar diagnostiek.

Commandouitvoering: de sloten worden strakker

Hier raakt de beveiligingsversterkking het hardst. Meerdere wijzigingen beïnvloeden direct hoe commando's worden uitgevoerd en wie ze mag uitvoeren.

Node-pairing is niet langer gelijk aan commandopermissie. Voorheen verleende het voltooien van device-pairing automatisch rechten om node-commando's uit te voeren. Nu moet pairing expliciet worden goedgekeurd voordat node-commando's worden geactiveerd. Een privilege-escalatie-vector via de pairing-flow is gedicht.

Gevoelige omgevingsvariabelen worden uit de shell-uitvoeringsomgeving verwijderd. Python-pakketindex-URL's (\PIP_INDEX_URL\), Docker-endpoints, TLS-certificaatpaden, compilerpaden — allemaal geblokkeerd van overdracht uit het request-scope naar de uitvoeringsomgeving. Een gedocumenteerd supply-chain-aanvalsvlak is gesloten: aanvallers konden eerder omgevingsvariabelen injecteren om pakketdownloads naar kwaadaardige bronnen om te leiden.

\tools.exec.host=auto\ is nu een pure routing-flag. Het impliceert niet langer "gebruik sandbox als beschikbaar". Als er geen sandbox bestaat en er expliciet één wordt gevraagd, faalt het onmiddellijk in plaats van stil terug te vallen naar uitvoering zonder sandbox. Geen stille downgrades meer.

Platform-updates

WhatsApp

Agents kunnen nu met emoji op berichten reageren — een ❤️ op een foto, een 👍 op een bevestiging. Niet meer elke keer "Mooie foto!" typen.

Telegram

Goedkeuringsverzoeken in groepen blijven in hun oorspronkelijke topic-thread, in plaats van naar de root-chat te ontsnappen. Error-cooldown-controls (\errorPolicy\ en \errorCooldownMs\) voorkomen dat dezelfde tijdelijke fout notificaties overspoelt.

Matrix

Streaming-antwoorden worden nu in-place bijgewerkt binnen één bericht, in plaats van per chunk een nieuw bericht te sturen. Berichtgeschiedeniscontext is ook beschikbaar, zodat agents de conversatie begrijpen die hen activeerde.

Slack

Commando-goedkeuringsverzoeken kunnen nu volledig binnen Slack worden afgehandeld — geen sprong naar de web-UI of terminal nodig.

Android

Google Assistant App Actions-integratie maakt het mogelijk OpenClaw rechtstreeks vanaf de spraakassistent te triggeren en prompts door te geven aan de chatinterface.

macOS

Voice Wake activeert de gespreksmodus met een wekwoord. Handsfree.

LINE

Bundled-plugin-ondersteuning met uitgaande verzending van afbeeldingen, video en audio. De runtime-contract-resolutie bij globale npm-installaties is gerepareerd.

QQ Bot

Volledig bundled channel-plugin: multi-account-setup, slash-commando's, herinneringen en rich-media-ondersteuning voor privéchats, groeps-@-berichten en guildkanalen.

Gateway-authenticatie: geen impliciet vertrouwen meer

Self-hosters, opgelet.

De \trusted-proxy\-modus van de gateway weigert nu gemengde configuraties die tegelijk shared tokens gebruiken. De lokale directe-verbinding-fallback laat aanroepers van dezelfde host niet meer impliciet door — een expliciet geconfigureerd token is vereist.

Als je setup draaide op "zelfde machine = vertrouwd", gaat die kapot na de upgrade. Voeg expliciete authenticatieconfiguratie toe.

Shared-auth rate limiting blijft actief tijdens WebSocket-handshake-pogingen, en niet-overeenkomende browser-Origin-headers op trusted-proxy HTTP-verzoeken worden geweigerd.

---

3.28 gaf de kreeft zijn pantser. 3.31 tot 4.2 leerden hem de scharen te gebruiken.

Plugin-installaties hebben een uitsmijter. Achtergrondtaken hebben een brein. Config-paden hebben schone grenzen. Uitvoeringsomgevingen zijn ontdaan van aanvalsvlak. De gateway eist credentials in plaats van goede trouw aan te nemen.

Drie releases. Drie dagen. De beveiligingsperimeter kromp, en alles erbinnen werd moeilijker te kraken.

De kreeft heeft zijn scharen uit. Niet zonder toestemming reiken.