项目现状
近 10 个版本几乎每天都有发布,节奏非常快。
v2026.5.7 核心修复(2026-05-07)
平台安全与权限加固
Native commands owner 强制执行
# 问题:native command handler 没有正确执行 owner 权限检查
# 修复:现在所有 native command 都会校验 owner 权限
# PR: #78864 @pgondhi987Active Memory 管理权限升级
# 问题:普通用户可以切换全局 memory 开关
# 修复:全局 memory 切换现在需要 admin scope
# PR: #78863 @pgondhi987Auto-reply 授权钩子
# 问题:inline skill tool 绕过了一些授权检查
# 修复:auto-reply 的 skill tool dispatch 现在经过 before-tool-call 授权钩子
# PR: #78517 @pgondhi987Cron 系统改进
状态输出完善
# 之前:cron list --json 不包含计算后的 status
# 现在:包含 disabled/running/ok/error/skipped/idle 完整状态
openclaw cron list --json
openclaw cron show <job-id> --json
# PR: #78701 @aweikerModel 字段修复
# 问题:cron job 的 payload.model 存储了 "default" / "null" / 空值
# 修复:doctor --fix 会清理这些无效值
# PR: #78549 @bizzle12368239孤立运行提前失败
# 问题:delivery.channel=last 没有上一次的路由时,cron 仍然执行并浪费 token
# 修复:在模型执行前检测 delivery 目标是否有效,直接失败而不是浪费资源
# PR: #78608 @sallyomDiscord 专项修复
跨频道消息路由
# 问题:message(action="send", target="discord:channel:<id>") 被错误解析为 DM
# 修复:provider 前缀的 target 现在正确解析为频道发送
# PR: #78572心跳超时计算修正
# 问题:从心跳发送时间开始计算 ACK 超时,而不是从实际发送时间
# 影响:假阳性重连循环
# 修复:现在从实际心跳发送时间计时
# PR: #77668 (#78087) @bryce-d-greybeard, @NikolaFC语音权限检查
# 新增:channels capabilities 和 channels status --probe 现在检查语音权限
# 包括:Auto-join targets、Connect/Speak/Read Message History
# 在 /vc join 之前就能发现缺失权限语音采集优化
# 沉默grace时间:默认延长至 2.5s(适应嘈杂 Discord 环境)
# 新增配置:voice.captureSilenceGraceMs
# STT 片段周围加入 spoken-output prompt
# PR: @vincentkocTelegram 专项
accessGroup 权限覆盖 DMs
# 问题:Telegram DMs 不遵守 accessGroup:* sender allowlist
# 修复:现在 DMs、groups、native commands、callback 都会先检查 accessGroup 权限
# 再应用 Telegram numeric sender-ID 检查
# PR: #78660 @manugc轮询看门狗稳定性
# 问题:无关的 outbound Bot API 调用会掩盖 wedged inbound poller
# 修复:polling watchdog 现在绑定到 getUpdates 存活状态
# PR: #78422 @ai-hpc同聊消息发送判定
# 问题:inbound Telegram turn 中用 message tool 发送消息,
# 被当作未送达而触发静默回复回退
# 修复:同聊消息在决定是否发送回退时视为已送达
# PR: #78685 @neeravmakwanaWhatsApp LID 路由
# 问题:主动发起的手机号发送没有通过 Baileys LID 转发映射
# 导致 LID 联系人收到空消息
# 修复:现在通过 LID forward mappings 路由
# PR: #74925 (#67378) @edenfunf
# 问题:带 MEDAI: 指令的自动回复发送了两次(空媒体+带字幕媒体)
# 修复:现在只发一次带字幕的媒体消息
# PR: #78770 @ai-hpc模型 & Provider
OpenAI chat-latest
# 新支持:openai/chat-latest 作为显式 API-key 模型覆盖
# 用于测试 ChatGPT Instant API alias,不影响稳定默认模型Tavily 凭据解析
# 问题:exec SecretRef API keys 没有被正确解析
# 修复:从运行时配置快照解析 tavily_search 和 tavily_extract 凭据
# PR: #78610 @VACIncCompaction token 限制
# 问题:高上下文 compaction 请求超过模型 output limit 的 max_tokens
# 修复:现在 clamp 到每个模型的 output limit
# PR: #54392 @adzendov2026.5.6 关键修复(2026-05-06)
OpenAI Codex OAuth 路由回退
这是唯一一个带「警告」标题的版本:
# 问题:v2026.5.5 的 doctor --fix 把 openai-codex/* 路由错误地重写为 openai/*
# 这会破坏纯 OAuth 的 GPT-5.5 配置
# 恢复步骤:
openclaw models set openai-codex/gpt-5.5
openclaw config validate
# PR: #78407 @shakkernerd插件运行时 Fetch
# 问题:第三方 symbol metadata 污染了请求头字典
# 导致 SDK/guarded/proxy fetch 路径拒绝有效请求
# 修复:转发前清理 symbol metadata
# PR: #77846 @shakkernerdWeb Fetch 资源泄漏
# 问题:请求超时的 guarded dispatcher 没有正确清理
# 导致 tool lanes 保持活跃
# 修复:bounded cleanup,超时返回 tool error
# PR: #78439 @obviyv2026.5.5 专项改进(2026-05-06)
Google Meet 语音通话(重大改进)
# Twilio dial-in 通过 realtime Gemini voice bridge 传输
# 特性:
# - paced audio streaming
# - backpressure-aware buffering
# - barge-in queue clearing
# - 无 TwiML 回退
# 效果:Meet 参与者的语音 agent 响应更迅速
# PR: #77064 @scoootscooobControl UI 改进
Session 展示优化
# Compaction count 显示为紧凑的 "N Checkpoint(s)"
# 展开显示 session 级详情和现代化 checkpoint history cards
# 跨响应式表格布局
# PR: @BunsDev性能与稳定性
# 问题:history payloads 和 channel probes 慢时,chat 和 channel tabs 无响应
# 修复:
# - 标签响应性隔离
# - 部分 channel status 加标签
# - 慢 chat/config render 记录到事件日志
# PR: @BunsDev/new 命令生命周期
# 问题:Control UI 创建 session 时误触发 /new 和 lifecycle hooks
# 修复:只有明确的 Control UI session 创建才触发
# 恢复 session-memory 和自定义 hook 捕获
# PR: #76957 @BunsDevFeishu Topic 路由
# 问题:Feishu first turns 和 follow-ups 没有保持在同一 topic session
# 修复:在 session 路由前 hydrate 缺失的 native topic starter thread IDs
# PR: #78262 @joeyzenghuanMatrix 审批重试
# 问题:Matrix 发送失败导致审批提示悬停
# 修复:最多重试 3 次,short backoff
# PR: #78179 @Patrick-Erichsenv2026.5.4 平台与性能(2026-05-05)
Windows Loopback 绑定
# 问题:libuv dual-stack ::1 行为导致 Windows localhost HTTP 请求卡住
# 修复:Windows 默认只绑定 127.0.0.1
# PR: #69701 (#69674) @SARAMALI15792插件性能优化
# 无 scope 的 model catalog 和 manifest 读者现在复用当前 workspace 兼容的
# plugin metadata snapshot,避免了热路径上的重复冷扫描
# 同时保留 env/config/workspace 兼容性检查
# PR: #77519, #77532模型 Auth 检查
# 新增命令:
openclaw models auth list [--provider <id>] [--json]
# 查看每个 agent 的已保存 auth profiles,不泄露 secrets
# PR: @vincentkocCodex 审批流程全面重构
# v2026.5.7 中大幅改进:
# 1. 不再默认安装 pre-guardian native PermissionRequest hook
# 让 Codex reviewer 在 OpenClaw 之前先审批安全命令
# 2. 记住 allow-always 决策
# 在 active session window 内对相同的 Codex native PermissionRequest payload 生效
# 3. 插件审批请求现在验证/渲染实际允许的决策
# Telegram 和其他 native approval UIs 不再显示过时操作
# PR: @shakkernerd平台支持总览
OpenClaw 支持的消息平台(部分):
安全模型亮点
OpenClaw 近期在安全边界上做了不少加固:
开发者体验改进
社区贡献者亮点(v2026.5.5 ~ v2026.5.7)
总结
OpenClaw 近期(v2026.5.4 ~ v2026.5.7)的更新有几个明显趋势:
平台细节深挖 — Discord 语音权限检查、Telegram 轮询稳定性、WhatsApp LID 路由,每个主流平台都在细节上被打磨
安全边界加固 — owner enforcement、admin scope 要求、授权钩子完善,说明项目在企业级安全方向持续投入
Control UI 快速成熟 — compaction 展示、性能监控、session 生命周期,Web 管理界面功能越来越完整
Google Meet 语音 bridge — realtime Gemini voice 的整条 pipeline 在 v2026.5.5 被重点优化,说明语音交互是核心方向
36 万星的项目依然保持每天发版的节奏,而且每次都不是「换皮」式更新,全是实质性的 bugfix 和平台适配。OpenClaw 的工程质量和社区活跃度在开源 AI Agent 项目里确实是天花板级别。
技术没有捷径,但有方向