3.28 給龍蝦穿上了新甲。殼硬了,鉗子利了,一副別惹我的姿態。
然後現實給它上了一課。
Cisco 的 AI 安全團隊拆開了一個熱門社群技能,發現它本質上就是惡意軟體——悄悄把資料往攻擊者的伺服器上搬,用提示詞注入繞過安全限制。安全研究人員掃了 31,000 個技能,26% 至少有一個漏洞。ClawHavoc 攻擊往 ClawHub 裡塞了 800 多個惡意技能。龍蝦是有新殼了,但海裡的威脅也升級了。
三天,三個版本。3.31、4.1、4.2。這不是功能衝刺——是一場圍城戰。Breaking Changes、安全封鎖、基礎設施重寫,目標只有一個:讓 OpenClaw 更難被攻破,更容易被掌控,對自己在幹什麼更坦誠。
老規矩加倍強調:正式環境的龍蝦,升級前先讀完再動手。
裝外掛?先過安檢
最容易搞砸你工作流的改動,恰好也是最有必要的。
以前裝技能,不管裡面藏了什麼——危險程式碼、惡意相依套件、提示詞注入——安裝都能順利通過,你根本不會察覺,直到出事。
現在不行了。OpenClaw 在每次外掛安裝前都會跑一遍內建的危險程式碼掃描。一旦發現嚴重問題,安裝直接失敗。唯一的繞過方式是在指令裡顯式加上 \--dangerously-force-unsafe-install\——這個名字就是故意讓你打字時猶豫一下。
背景是什麼?技能生態有信任危機。Cisco 發現一個熱門社群技能在用靜默的 curl 指令往外搬使用者資料。ClawHub 當時收錄了 2,857 個技能,其中 341 個被確認為惡意——分佈在多個攻擊活動裡。後來這個數字漲到了 824 以上。安裝關卡來得晚,但確實該來。
如果你維護的技能依賴了有已知漏洞的套件,或者透過閘道拉取技能相依套件,升級後很可能裝不上。解決辦法要麼是清理相依樹,要麼就做個明確的決定:強制安裝。
xAI 和 Firecrawl:設定路徑換了
用了 xAI 搜尋或者 Firecrawl 抓網頁的使用者注意:你的設定路徑現在是無效的。
xAI 搜尋:\tools.web.x_search.<em class="italic text-slate-200">\ 下面的所有設定,全部遷移到 \plugins.entries.xai.config.xSearch.</em>\。認證統一走 \plugins.entries.xai.config.webSearch.apiKey\ / \XAI_API_KEY\。
Firecrawl:舊的 \tools.web.fetch.firecrawl.<em class="italic text-slate-200">\ 路徑作廢。新位址是 \plugins.entries.firecrawl.config.webFetch.</em>\。web_fetch 的回退邏輯現在走的是規範的 fetch-provider 邊界,不再是 Firecrawl 專用的核心分支。
好消息:跑一次 \openclaw doctor --fix\ 就能自動完成遷移。但如果你有腳本、自動化流程或 CI 管線直接引用舊路徑,那些得手動改。
這是更大架構調整的一部分:provider 專屬的設定正在從整塊的核心 config 裡搬出來,進入外掛自治的命名空間。邊界更清晰,歸屬更明確。
背景任務長了個大腦
OpenClaw 的背景任務系統被徹底重建了。
以前,ACP 任務、排程任務、子智能體任務各走各的路——有的有自己的追蹤機制,有的乾脆沒有。除錯一個卡住的任務靠猜。取消一個任務靠祈禱。
現在所有任務都走統一的 SQLite 帳本。ACP、子智能體、排程任務、背景 CLI 執行全部匯入同一個系統,有完整的生命週期追蹤、稽核日誌和狀態視覺化。
對使用者來說意味著什麼:
- •聊天視窗裡輸入 \
/tasks\,即時查看當前工作階段的所有背景任務——狀態、最近活動、回退計數,一目瞭然。 - •任務被阻塞時會告訴你原因。 不用再猜了。
- •優雅取消。 取消任務時,系統會等進行中的工作完成再真正停下來,不是一刀切。
- •遺失任務恢復。 系統能偵測到孤兒任務,並給出 doctor 恢復建議。
- •流控制。 \
openclaw flows list|show|cancel\給你一個線性的多任務工作流控制面板。
跑複雜自動化的使用者——鏈式 agent、排程作業、背景處理——從此除錯不再靠玄學,而是有據可查。
指令執行:鎖又緊了一圈
這是本輪安全加固最密集的區域,幾個改動直接影響指令怎麼跑、誰能跑。
節點配對不再等於指令權限。 以前裝置完成配對就自動取得節點指令執行權。現在配對必須被明確批准後,節點指令才會啟用。這堵住了一個透過濫用配對流程來提權的漏洞。
敏感環境變數被從 shell 執行環境中剝離。 Python 套件索引 URL(\PIP_INDEX_URL\)、Docker 端點、TLS 憑證路徑、編譯器路徑——這些現在全部禁止透過請求範圍傳入執行環境。這關掉了一個有據可查的供應鏈攻擊面:攻擊者以前可以透過注入環境變數,把套件拉取請求重新導向到惡意來源。
\tools.exec.host=auto\ 現在是純路由旗標。 不再隱含「有沙箱就用沙箱」的邏輯。沙箱不存在時,顯式指定沙箱會直接失敗,而不是悄悄降級到無沙箱執行。不再有靜默降級。
各平台更新
智能體現在可以用 emoji 回應訊息了——給照片一個 ❤️,給確認一個 👍。不用每次都打字說「照片不錯!」了。
Telegram
群組裡的審批請求現在會留在原來的話題裡,不再跑到根聊天。新增錯誤冷卻控制(\errorPolicy\ 和 \errorCooldownMs\),同一個瞬態錯誤不會反覆洗版。
Matrix
串流回覆現在會在同一則訊息裡原地更新,不再每個資料區塊發一則新訊息。同時加入了訊息歷史上下文,智能體能理解觸發對話時的前因後果。
Slack
指令執行的審批請求現在可以完全在 Slack 內完成,不用跳到網頁端或終端。
Android
接入了 Google Assistant App Actions,可以從語音助手直接觸發 OpenClaw,提示詞直接傳入聊天介面。
macOS
Voice Wake 功能讓你用語音喚醒詞啟動對話模式,解放雙手。
LINE
正式支援捆綁外掛,補齊了圖片、影片和音訊的出站傳送能力。全域 npm 安裝下的執行階段契約解析也修好了。
QQ Bot
作為完整的捆綁頻道外掛上線:多帳號設定、斜線指令、提醒、富媒體支援,覆蓋私聊、群組 @訊息和頻道。
閘道認證:不再預設信任
自架設使用者注意。
閘道的 \trusted-proxy\ 模式現在拒絕同時使用共享令牌的混合設定。本機直連回退不再隱式放行同一主機的呼叫者——你必須提供明確設定的令牌。
如果你的環境以前靠「同一台機器就自動信任」運行,升級後會掛。補上顯式的認證設定。
共享認證的速率限制現在在 WebSocket 握手階段也保持啟用,Origin 標頭不匹配的 trusted-proxy HTTP 請求會被直接拒絕。
---
3.28 給龍蝦上了甲。3.31 到 4.2 教牠用鉗子打架。
外掛安裝有了門衛。背景任務有了大腦。設定路徑有了清晰的邊界。執行環境被剝離了攻擊面。閘道不再假設來者善意,而是開口要憑證。
三個版本。三天。安全圈收緊了,圈裡的一切變得更難撬動。
龍蝦亮出了鉗子。沒有許可,別伸手。
