3.28 одел лобстера в новую броню. Панцирь затвердел, клешни заточены, к бою готов.
А потом реальность напомнила о себе.
Команда Cisco по безопасности ИИ разобрала популярный коммьюнити-скилл и обнаружила, что это, по сути, вредоносное ПО — тихо отправляло данные на серверы злоумышленников и обходило рекомендации по безопасности через инъекцию промптов. Исследователи просканировали 31 000 скиллов: у 26% нашлась хотя бы одна уязвимость. Кампания ClawHavoc подбросила в ClawHub более 800 вредоносных скиллов. Лобстер получил новый панцирь, но океан стал опаснее.
Три релиза за три дня. 3.31, 4.1, 4.2. Это не функциональный спринт — это осада. Ломающие изменения, блокировки безопасности и переписывание инфраструктуры ради одной цели: сделать OpenClaw сложнее для взлома, проще для управления и честнее в том, что он делает.
Обычный совет в двойной дозе: лобстеры на проде, сначала читайте, потом обновляйте.
У установки плагинов теперь есть вышибала
Изменение, которое с наибольшей вероятностью сломает ваш рабочий процесс, одновременно самое необходимое.
Раньше можно было устанавливать любой скилл, невзирая на содержимое. Опасный код, вредоносные зависимости, полезная нагрузка для инъекции промптов — установка проходила без проблем, а вы узнавали о проблеме, только когда было уже поздно.
Больше нет. OpenClaw запускает встроенное сканирование на опасный код перед каждой установкой плагина. Если обнаружены критические проблемы, установка немедленно прерывается. Единственный обходной путь — явный флаг \--dangerously-force-unsafe-install\ — название подобрано так, чтобы вы задумались, пока набираете его.
Контекст: у экосистемы скиллов была проблема доверия. Cisco обнаружила, что популярный коммьюнити-скилл отправлял пользовательские данные наружу через тихие curl-команды. В ClawHub на момент анализа было 2 857 скиллов, из которых 341 подтверждён как вредоносный в рамках нескольких кампаний. Потом число выросло до 824+. Контроль при установке запоздал, но был необходим.
Если вы поддерживаете скиллы, зависящие от пакетов с известными уязвимостями, или тянете зависимости через шлюз, после обновления установка может не пройти. Решение: почистить дерево зависимостей или осознанно выбрать принудительную установку.
xAI и Firecrawl: пути конфигурации переехали
Если вы используете поиск xAI или Firecrawl для извлечения веб-страниц, ваши пути конфигурации теперь недействительны.
Поиск xAI: всё из \tools.web.x_search.<em class="italic text-slate-200">\ переезжает в \plugins.entries.xai.config.xSearch.</em>\. Аутентификация унифицирована на \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\.
Firecrawl: старый путь \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ упразднён. Новый адрес: \plugins.entries.firecrawl.config.webFetch.</em>\. Фолбэк web_fetch теперь проходит через чистую границу fetch-provider вместо эксклюзивной ветки ядра Firecrawl.
Хорошая новость: одно выполнение \openclaw doctor --fix\ автоматически завершает миграцию. Но если у вас есть скрипты, автоматизация или CI-пайплайны, напрямую ссылающиеся на старые пути, их нужно обновить вручную.
Это часть более масштабного архитектурного сдвига: настройки, специфичные для провайдеров, переезжают из монолитного ядра конфигурации в пространства имён, управляемые плагинами. Чёткие границы, ясная ответственность.
У фоновых задач появился мозг
Система фоновых задач OpenClaw полностью перестроена.
Раньше задачи ACP, cron-задания и задачи субагентов имели каждый свои механизмы отслеживания — или не имели вообще. Отладка зависшей задачи — гадание. Отмена задачи — надежда на лучшее.
Теперь всё проходит через единый реестр на SQLite. ACP, субагенты, cron и фоновое выполнение CLI — всё стекается в одну систему с полным отслеживанием жизненного цикла, аудитом и видимостью статуса.
Что это означает для пользователей:
- •\
/tasks\в любой сессии чата показывает живую панель всех фоновых задач сессии — статус, последняя активность и счётчики фолбэков с первого взгляда. - •Заблокированные задачи показывают причину. Больше не нужно гадать.
- •Мягкая отмена. Отменённые задачи дожидаются завершения активной работы, а не обрываются на полпути.
- •Восстановление потерянных запусков. Система обнаруживает осиротевшие задачи и предлагает подсказки для восстановления через doctor.
- •Управление потоками. \
openclaw flows list|show|cancel\даёт линейную поверхность управления многозадачными рабочими процессами.
Для тех, кто запускает сложную автоматизацию — цепочки агентов, запланированные задания, фоновую обработку — отладка задач превращается из гадания в диагностику.
Выполнение команд: замки стали крепче
Здесь усиление безопасности самое плотное. Несколько изменений напрямую влияют на то, как выполняются команды и кто имеет право их запускать.
Сопряжение узла больше не равно разрешению на выполнение. Раньше завершение сопряжения устройства автоматически давало права на выполнение команд узла. Теперь сопряжение должно быть явно одобрено, прежде чем команды активируются. Закрыт вектор повышения привилегий через процесс сопряжения.
Чувствительные переменные окружения удалены из среды выполнения shell. URL индексов пакетов Python (\PIP_INDEX_URL\), эндпоинты Docker, пути сертификатов TLS, пути компилятора — всё это заблокировано от передачи из области запроса в среду выполнения. Закрыта задокументированная поверхность атаки на цепочку поставок: раньше злоумышленники могли инжектировать переменные окружения для перенаправления загрузки пакетов на вредоносные источники.
\tools.exec.host=auto\ теперь чистый флаг маршрутизации. Больше не подразумевает «использовать песочницу, если доступна». Если песочницы нет и она явно запрошена, происходит немедленный сбой вместо тихого отката к выполнению без песочницы. Никаких тихих даунгрейдов.
Обновления по платформам
Агенты теперь могут реагировать на сообщения эмодзи — ❤️ на фото, 👍 на подтверждение. Не нужно каждый раз набирать «классное фото!».
Telegram
Запросы на одобрение в группах остаются в исходной теме, не убегая в корневой чат. Контроль охлаждения ошибок (\errorPolicy\ и \errorCooldownMs\) не даёт одной и той же транзитной ошибке заваливать уведомления.
Matrix
Потоковые ответы обновляются на месте в одном сообщении, а не отправляют новое на каждый чанк. Также доступен контекст истории сообщений, чтобы агенты понимали разговор, который их активировал.
Slack
Запросы на одобрение выполнения команд можно полностью завершить в Slack — не нужно переходить в веб-интерфейс или терминал.
Android
Интеграция с Google Assistant App Actions позволяет запускать OpenClaw прямо из голосового помощника, передавая промпты в интерфейс чата.
macOS
Voice Wake активирует режим разговора по ключевому слову. Без рук.
LINE
Поддержка встроенных плагинов с исходящей отправкой изображений, видео и аудио. Исправлено разрешение контракта рантайма при глобальных установках npm.
QQ Bot
Полноценный встроенный плагин канала: мультиаккаунтная настройка, слеш-команды, напоминания и поддержка мультимедиа для приватных чатов, групповых @-сообщений и каналов гильдий.
Аутентификация шлюза: неявное доверие отменяется
Самохостерам на заметку.
Режим \trusted-proxy\ шлюза теперь отвергает смешанные конфигурации, одновременно использующие общие токены. Фолбэк локального прямого подключения больше не пропускает вызывающих с того же хоста — требуется явно настроенный токен.
Если ваше окружение работало по принципу «та же машина = доверие», после обновления оно сломается. Добавьте явную конфигурацию аутентификации.
Ограничение скорости для общей аутентификации остаётся активным во время попыток рукопожатия WebSocket, а запросы trusted-proxy с несовпадающими заголовками Origin отклоняются.
---
3.28 надел на лобстера броню. 3.31–4.2 научили его драться.
У установки плагинов есть вышибала. У фоновых задач есть мозг. У путей конфигурации есть чёткие границы. Из сред выполнения удалена поверхность атаки. Шлюз требует учётные данные, а не полагается на добрую волю.
Три релиза. Три дня. Периметр безопасности сжался, и всё внутри стало сложнее сломать.
Лобстер выставил клешни. Не лезь без разрешения.
