OpenClaw 3.31–4.2: Giơ càng — Khóa plugin, bộ não tác vụ và cuộc bao vây an ninh

3.28 cho tôm hùm bộ giáp mới. Vỏ cứng hơn, càng sắc hơn, sẵn sàng chiến đấu.

Rồi thực tế gõ cửa.

Đội an ninh AI của Cisco mổ xẻ một skill cộng đồng phổ biến và phát hiện nó thực chất là malware — âm thầm đẩy dữ liệu sang máy chủ của kẻ tấn công, dùng prompt injection để lách qua các quy tắc an toàn. Các nhà nghiên cứu quét 31.000 skill: 26% có ít nhất một lỗ hổng. Chiến dịch ClawHavoc cài hơn 800 skill độc hại vào ClawHub. Tôm hùm có vỏ mới, nhưng đại dương đã nguy hiểm hơn.

Ba bản phát hành trong ba ngày. 3.31, 4.1, 4.2. Đây không phải sprint tính năng — đây là cuộc bao vây. Breaking changes, khóa an ninh và viết lại hạ tầng, tất cả nhắm đến một mục tiêu: khiến OpenClaw khó tấn công hơn, dễ kiểm soát hơn, và minh bạch hơn về những gì nó đang làm.

Lời khuyên thường lệ, liều gấp đôi: tôm hùm trên production, đọc trước rồi hãy nâng cấp.

Cài plugin giờ phải qua cổng bảo vệ

Thay đổi dễ phá vỡ workflow của bạn nhất cũng là thay đổi cần thiết nhất.

Trước đây, bạn có thể cài bất kỳ skill nào bất kể bên trong chứa gì. Mã nguy hiểm, dependency độc hại, payload prompt injection — cài đặt vẫn thành công bình thường, và bạn chẳng biết gì cho đến khi mọi chuyện đã rồi.

Hết rồi. OpenClaw chạy quét mã nguy hiểm tích hợp trước mỗi lần cài plugin. Nếu phát hiện vấn đề nghiêm trọng, cài đặt lập tức thất bại. Cách duy nhất để vượt qua: flag rõ ràng \--dangerously-force-unsafe-install\ — cái tên được chọn để bạn phải do dự khi gõ.

Bối cảnh: hệ sinh thái skill có vấn đề về niềm tin. Cisco phát hiện một skill cộng đồng phổ biến đang tuồn dữ liệu người dùng ra ngoài qua lệnh curl im lặng. ClawHub lúc phân tích chứa 2.857 skill, trong đó 341 được xác nhận là độc hại qua nhiều chiến dịch. Con số sau đó tăng lên hơn 824. Cổng kiểm soát cài đặt đến muộn, nhưng cần thiết.

Nếu bạn duy trì skill phụ thuộc vào package có lỗ hổng đã biết, hoặc kéo dependency qua gateway, hãy chuẩn bị cho lỗi cài đặt sau khi nâng cấp. Giải pháp: dọn dẹp cây dependency hoặc chủ động chọn cài đặt bắt buộc.

xAI và Firecrawl: đường dẫn cấu hình đã thay đổi

Nếu bạn dùng tìm kiếm xAI hoặc Firecrawl để web fetching, đường dẫn cấu hình của bạn giờ không còn hợp lệ.

Tìm kiếm xAI: tất cả trong \tools.web.x_search.<em class="italic text-slate-200">\ chuyển sang \plugins.entries.xai.config.xSearch.</em>\. Xác thực thống nhất tại \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\.

Firecrawl: đường dẫn cũ \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ không còn tồn tại. Địa chỉ mới: \plugins.entries.firecrawl.config.webFetch.</em>\. Fallback của web_fetch giờ đi qua ranh giới fetch-provider sạch thay vì nhánh core riêng của Firecrawl.

Tin tốt: chạy \openclaw doctor --fix\ một lần là migration tự động hoàn thành. Nhưng nếu bạn có script, tự động hóa hay pipeline CI tham chiếu trực tiếp đường dẫn cũ, những cái đó cần cập nhật thủ công.

Đây là phần của sự chuyển đổi kiến trúc lớn hơn: cài đặt riêng của provider đang rời khỏi config monolith trung tâm sang namespace do plugin quản lý. Ranh giới rõ ràng hơn, quyền sở hữu minh bạch hơn.

Tác vụ nền có bộ não rồi

Hệ thống tác vụ nền của OpenClaw được xây lại hoàn toàn.

Trước đây, tác vụ ACP, cron job và tác vụ subagent mỗi cái có cơ chế theo dõi riêng — hoặc chẳng có gì. Debug tác vụ bị kẹt là đoán mò. Hủy tác vụ là cầu nguyện.

Giờ tất cả đi qua sổ cái thống nhất trên SQLite. ACP, subagent, cron và thực thi CLI nền đều đổ vào một hệ thống duy nhất với theo dõi vòng đời, dấu vết kiểm toán và khả năng hiển thị trạng thái.

Điều này có nghĩa gì với người dùng:

• •\/tasks\ trong bất kỳ phiên chat nào hiển thị bảng điều khiển trực tiếp của tất cả tác vụ nền trong phiên đó — trạng thái, hoạt động gần đây và bộ đếm fallback trong nháy mắt.
• •Tác vụ bị chặn sẽ cho biết lý do. Không cần đoán nữa.
• •Hủy nhẹ nhàng. Tác vụ bị hủy sẽ đợi công việc đang chạy hoàn thành rồi mới dừng. Không cắt ngang giữa chừng.
• •Khôi phục lần chạy bị mất. Hệ thống phát hiện tác vụ mồ côi và đưa ra gợi ý khôi phục qua doctor.
• •Điều khiển luồng. \openclaw flows list|show|cancel\ cho bạn bề mặt điều khiển tuyến tính trên workflow đa tác vụ.

Với những ai chạy tự động hóa phức tạp — agent chuỗi, job lên lịch, xử lý nền — debug tác vụ chuyển từ đoán mò sang chẩn đoán được.

Thực thi lệnh: khóa siết chặt hơn

Đây là vùng tăng cường an ninh dày đặc nhất. Nhiều thay đổi ảnh hưởng trực tiếp đến cách lệnh chạy và ai được chạy.

Ghép nối node không còn đồng nghĩa với quyền thực thi. Trước đây, hoàn thành ghép nối thiết bị tự động cấp quyền thực thi lệnh node. Giờ ghép nối phải được phê duyệt rõ ràng trước khi lệnh node được kích hoạt. Vector leo thang đặc quyền qua luồng ghép nối đã bị đóng.

Biến môi trường nhạy cảm bị loại khỏi môi trường thực thi shell. URL chỉ mục package Python (\PIP_INDEX_URL\), endpoint Docker, đường dẫn chứng chỉ TLS, đường dẫn trình biên dịch — tất cả bị chặn không cho truyền từ scope request vào môi trường thực thi. Bề mặt tấn công chuỗi cung ứng đã được ghi nhận bị đóng: trước đây kẻ tấn công có thể inject biến môi trường để chuyển hướng tải package sang nguồn độc hại.

\tools.exec.host=auto\ giờ là flag routing thuần túy. Không còn ngầm hiểu là "dùng sandbox nếu có". Nếu sandbox không tồn tại mà được yêu cầu rõ ràng, sẽ thất bại ngay thay vì âm thầm rơi về thực thi không sandbox. Không còn downgrade im lặng.

Cập nhật theo nền tảng

WhatsApp

Agent giờ có thể phản ứng tin nhắn bằng emoji — một ❤️ cho ảnh, một 👍 cho xác nhận. Không cần gõ "ảnh đẹp!" mỗi lần nữa.

Telegram

Yêu cầu phê duyệt trong nhóm giờ ở nguyên trong thread chủ đề gốc, không chạy ra chat gốc. Điều khiển cooldown lỗi (\errorPolicy\ và \errorCooldownMs\) ngăn cùng một lỗi tạm thời làm tràn thông báo.

Matrix

Phản hồi streaming giờ cập nhật tại chỗ trong một tin nhắn duy nhất, không gửi tin nhắn mới cho mỗi chunk. Ngữ cảnh lịch sử tin nhắn cũng có sẵn, để agent hiểu cuộc trò chuyện đã kích hoạt chúng.

Slack

Yêu cầu phê duyệt thực thi lệnh giờ có thể hoàn thành hoàn toàn trong Slack — không cần nhảy sang web UI hay terminal.

Android

Tích hợp Google Assistant App Actions cho phép kích hoạt OpenClaw trực tiếp từ trợ lý giọng nói, truyền prompt vào giao diện chat.

macOS

Voice Wake cho phép kích hoạt chế độ hội thoại bằng từ đánh thức. Rảnh tay.

LINE

Hỗ trợ plugin đi kèm với khả năng gửi đi hình ảnh, video và audio. Việc giải quyết contract runtime trên cài đặt npm toàn cục đã được sửa.

QQ Bot

Plugin kênh đi kèm đầy đủ: cài đặt đa tài khoản, lệnh slash, nhắc nhở và hỗ trợ rich media cho chat riêng, tin nhắn @nhóm và kênh guild.

Xác thực gateway: hết tin tưởng ngầm

Người tự host, chú ý.

Chế độ \trusted-proxy\ của gateway giờ từ chối cấu hình hỗn hợp dùng đồng thời shared token. Fallback kết nối trực tiếp local không còn ngầm cho phép caller từ cùng host — phải cung cấp token được cấu hình rõ ràng.

Nếu môi trường của bạn chạy theo kiểu "cùng máy thì tin", nó sẽ hỏng sau khi nâng cấp. Thêm cấu hình xác thực rõ ràng.

Rate limiting xác thực chia sẻ vẫn hoạt động trong quá trình handshake WebSocket, và request HTTP trusted-proxy có header Origin không khớp sẽ bị từ chối.

---

3.28 mặc giáp cho tôm hùm. 3.31 đến 4.2 dạy nó dùng càng.

Cài plugin có bảo vệ. Tác vụ nền có bộ não. Đường dẫn cấu hình có ranh giới rõ ràng. Môi trường thực thi đã bị loại bỏ bề mặt tấn công. Gateway đòi thông tin xác thực thay vì giả định thiện chí.

Ba bản phát hành. Ba ngày. Vành đai an ninh thu hẹp, và mọi thứ bên trong trở nên khó phá hơn.

Tôm hùm đã giơ càng. Đừng thò tay vào khi chưa được phép.