OpenClaw 2026.4.9 版本发布：记忆回填系统升级与全方位安全加固

OpenClaw 多通道 AI 网关正式推出 2026.4.9 版本。本次更新的核心聚焦于记忆与梦境系统的功能强化，并包含一系列重要的安全修复与稳定性改进。

🆕 新功能特性

记忆与梦境系统全面升级

新增了 REM 回填通道（通过 rem-harness --path 命令调用），支持将历史日记内容直接回填至 Dreams 模块与持久化记忆存储中，无需再借助中间的记忆栈进行二次处理。系统同步引入了结构化的日记浏览视图、基于时间线的导航功能、灵活的回填与重置控制面板，以及具备完整追溯链条的梦境摘要生成能力。

QA 实验室功能增强

新增了角色风格（character-vibes）评估报告生成功能。用户现可选择多种不同的AI模型并行运行同一任务，系统将自动生成对比报告，帮助用户快速、直观地评估不同候选模型在特定风格上的表现差异。

插件认证配置共享机制

Provider 的清单文件（manifests）现在支持声明 providerAuthAliases 属性。这使得同一 provider 的不同变体或版本能够共享同一套环境变量、认证配置文件以及 API 密钥导入选项，显著减少了在多环境或多实例下的重复配置工作。

iOS 版本管理流程优化

引入了明确的日历化版本（CalVer）锁定机制，使 TestFlight 的迭代版本管理更加规范。新增了 pnpm ios:version:pin -- --from-gateway 命令行工作流，便于开发者从网关侧直接锁定并同步特定的 iOS 应用版本。

🔒 重点安全修复

浏览器 SSRF 防护加固：在由交互行为驱动的页面跳转发生后，系统会重新执行完整的安全检查流程，有效防止攻击者绕过初始的沙箱隔离区。 .env 文件注入防护：强化了运行时环境的安全性，阻止来自不受信任工作区的 .env 配置文件覆盖系统关键的控制变量。 远程执行指令消毒：所有来自远程节点的命令执行请求及其输出内容，均会被标记为“不受信任”数据，并进行严格的消毒处理，防止恶意内容注入到核心的 System: 指令流中。 basic-ftp 依赖库升级：强制将 basic-ftp 依赖包升级至 5.2.1 版本，以彻底修复该库中存在的 CRLF 序列命令注入安全漏洞。

🐛 主要问题修复

• 提升了 Android 设备配对扫描过程的可靠性，解决了后台服务在特定条件下会不断重复重试的问题。
• 修复了 Matrix 频道因消息同步失败而导致整个网关进程意外崩溃的严重缺陷。
• 恢复了 Slack 平台中通过 url_private_download 链接的图片附件的正常加载与显示功能。
• 修正了跨会话使用 sessions_send 指令时，会异常抢占 Telegram 或 Discord 会话正常消息投递通道的问题。
• 确保了标记为 NO_REPLY 的静默指令不会泄露到最终用户可见的回复内容中。
• 优化了控制台 UI 在快速切换不同会话时，消息历史记录的同步保持逻辑。
• 在执行 /reset 指令时，系统自动回退的模型覆盖设置会被正确清除，而用户手动选择的模型配置则会得到保留。

📦 升级指南

执行以下命令即可升级至最新版本： npm install -g openclaw@latest