OpenClaw 4.7-4.9 更新解析:系统强制回填记忆,安全增强与Android配对更稳定

更新要点速览

如果您正在使用 OpenClaw,建议进行此次升级。本次版本迭代重点解决了两个长期被用户提及的核心问题:

  1. 记忆系统机制革新:从过去依赖AI模型的“自觉”读取,转变为系统层面的“强制”回填,确保了历史对话信息的可靠继承。
  2. 浏览器操作安全加固:增强了SSRF(服务器端请求伪造)防护,有效防止AI在操作浏览器时误入或泄露内网地址信息。

此外,本次更新还包含了一系列实用性修复,例如提升了Android设备的配对稳定性、恢复了Slack渠道中图片附件的正常加载、解决了Matrix网关的崩溃问题等。

核心改进一:记忆系统:从AI自律到系统强制

问题溯源:依赖“自觉”的困境

许多OpenClaw的长期用户可能都经历过类似的困扰:前一天与AI详细讨论并确认的项目方向,虽然已存入记忆,但后续对话中AI却仿佛“失忆”,需要用户反复重新解释。这并非AI“不想”记住,而是旧版记忆系统的工作机制依赖于AI在对话中主动“读取”记忆。一旦这个读取流程被跳过(有时会发生),之前的关键决策信息便无法有效传递。

4.9 版本的解决方案:REM 回填机制

在4.9版本中,一个名为“REM backfill”的机制被引入。简单来说,它实现了以下关键改进:

  • 系统自动回填:历史对话记录可以由系统自动回放并注入到“梦境”(Dreams)和持久化记忆(durable memory)中,无需再依赖AI模型的主动行为。
  • 结构化历史视图:控制界面(Control UI)新增了时间线导航功能,用户可以快速定位和查看历史决策点。
  • 记忆来源可追溯:每一条长期记忆都标注了其产生的源头会话,增强了可追溯性与可信度。
  • 安全的清理机制:引入了分阶段回填信号(staged backfill signals),防止在回填过程中误删有效数据。

正如官方描述所言:“旧的每日笔记可以回放到梦境和持久记忆中,而无需第二个记忆栈。”

实际工作流的变化

升级后,记忆系统的工作流程变得更加可靠:

实时对话 → 信息进入短期记忆
    ↓
对话结束 → 系统自动提取关键信息
    ↓
信息存入长期记忆(永久化)
    ↓
下次对话开始 → 系统自动将相关长期记忆注入上下文
    ↓
AI直接基于包含历史记忆的上下文进行回应

这一转变将记忆的留存与调用从“建议性”变为“强制性”,对于依赖AI进行长期、连续性任务的用户而言,是一项显著的可靠性提升。

核心改进二:浏览器SSRF防护的补全

先前存在的安全风险

当AI操作浏览器时,存在一个潜在的安全隐患:AI可能点击某个链接,该链接随后发生重定向,跳转至内网地址。由于旧版的SSRF防护主要在初始导航阶段进行检查,这种通过交互触发的后续跳转可能绕过安全检查,导致内网信息泄露。

4.9 版本的增强防护

4.9版本修复了这一防护漏洞,现在:

  • 交互后重新验证:所有由点击、表单提交或脚本钩子触发的页面跳转,其目标URL都会重新经过SSRF安全检查。
  • 严格的隔离策略:明确禁止访问内网IP地址等受限制的URL。
  • 批量操作覆盖:批量执行的浏览器操作流(batched action flows)同样受到此防护机制的保护。
  • 完整的安全日志:所有被拦截的访问尝试都会被记录,便于审计追踪。

官方的描述是:“浏览器交互在跳转到禁止访问的URL时,将无法绕过SSRF隔离区。”

需要特别关注的用户群体

如果您在生产环境中使用OpenClaw的自动化浏览器功能,或处理的网页数据涉及敏感信息,此项修复至关重要。

核心改进三:环境变量与配置保护

潜在的泄露风险

项目工作区中常见的 .env 文件通常存储着API密钥、数据库密码等敏感信息。在之前的版本中,所有插件理论上都能读取这些文件内容,若安装了恶意插件,则存在敏感信息泄露的风险。

4.9 版本的安全加固

4.9版本通过相关提交引入了以下保护措施:

  • 运行时环境变量保护:禁止从未经验证或不可信的工作区读取 .env 文件中的敏感变量。
  • 浏览器控制覆盖防护:防止恶意代码通过特定API覆盖浏览器安全控制设置。
  • URL覆盖安全检查:拒绝使用不安全的URL模式指定符进行覆盖操作。
  • 启动阶段预先检查:在插件懒加载之前就执行拒绝策略,防范于未然。

需要特别关注的用户群体

如果您的工作区配置了敏感信息,或者安装了多个来源的第三方插件,建议升级以获得此项保护。

其他值得关注的改进与修复

4.7 版本引入的新功能

  • CLI推理命令 (openclaw infer):新增命令行工具,支持模型推理、媒体处理、网页抓取及嵌入生成等多种任务,实现了供应商支持的后端推理工作流。
  • Memory/Wiki 功能恢复:重新集成了记忆-维基栈,提供了插件、CLI及同步/查询/应用工具,包含结构化的主张/证据字段、矛盾聚类、陈旧度看板等高级功能。
  • Webhooks 插件:内置Webhook入口插件,允许外部自动化系统通过共享密钥端点创建和驱动绑定的任务流。
  • 会话压缩:支持持久化的压缩检查点,用户可以在会话UI中进行分支/恢复操作,运营者可以检查并恢复压缩前的会话状态。
  • 新增模型提供商支持:新增对Google Gemma 4、Arcee AI、Ollama Vision等模型的支持。

4.8 版本的主要修复

4.8版本主要侧重于稳定性修复,无新功能。重要修复包括:

  • Telegram/捆绑渠道设置:修复了安装版npm构建启动时文件缺失导入的问题,增强了对十余种主流通讯渠道的支持。
  • Slack连接稳定性:改进了Socket Mode WebSocket连接的代理设置支持。
  • Slack Actions安全修复:修复了基于SecretRef的机器人令牌在配置重读后失效的问题。
  • 网络/获取守卫:允许仅代理沙盒环境通过受信任的代理解析外部主机。

4.9 版本的其他修复

除了上述核心改进,4.9版本还包括大量细节优化:

  • Android配对:优化了QR码扫描流程,清理陈旧的设置代码验证,提升了配对的成功率和稳定性。
  • Matrix网关:确保Matrix同步就绪后才标记启动成功,并将同步失败的处理限制在通道级别,避免引发全局崩溃。
  • Slack媒体加载:修复了同一域名下的授权保持问题,使Slack的图片附件能够重新正常加载。
  • 回复/诊断工具:优化了运行时快照的使用,改进了密钥引用的解析流程,并更清晰地呈现OAuth重新认证失败信息。
  • 控制界面与会话路由:提升了快速切换会话时界面响应的同步性,并修复了跨会话通信中的路由保持问题。
  • NPM打包与安全审计:改进了依赖打包流程,并强制升级了存在命令注入漏洞的basic-ftp依赖包。

升级建议与操作指南

推荐升级的用户

  • 长期项目用户:记忆系统的改进将极大提升AI对话的连续性和可靠性。
  • 企业级部署用户:SSRF防护、环境变量保护和节点执行安全等增强是企业生产环境所必需的。
  • 重度浏览器功能用户:修复了SSRF防护可被跳转绕过的漏洞,操作更安心。
  • 多插件环境用户:环境变量保护机制能有效防止敏感配置信息泄露。
  • Android移动端用户:配对流程修复,连接更稳定。
  • Matrix/Slack渠道用户:多项稳定性修复解决了图片加载、通道崩溃等问题。

如何升级

# 升级到最新版本
npm install -g openclaw@latest

# 验证版本号
openclaw --version

# 重启网关服务
openclaw gateway restart

# 检查系统状态
openclaw status

关于破坏性变更

本次4.7至4.9的版本更新不包含破坏性变更,可以平滑升级。请注意,较早的4.5版本曾移除过旧的配置别名,但此次升级无需担心此问题。

实际升级体验反馈

升级至最新版本后,用户体验到以下明显改善:

  1. 记忆系统真正可信:历史信息由系统确保注入,无需再“祈祷”AI记得。
  2. 浏览器自动化更安全:内网地址访问被有效拦截,执行敏感任务时更有保障。
  3. Android连接更顺畅:QR码配对成功率提高,后台重试逻辑得到优化。
  4. Slack协作恢复正常:此前无法加载的图片附件现在可以正常显示。

总体而言,此次更新虽未引入颠覆性新功能,但扎扎实实地解决了一系列影响实际使用的核心痛点与安全隐患,属于一次“务实且必要”的版本迭代。

参考链接