OpenClaw v2026.4.9 更新深度解析:五大功能革新与全面安全加固
OpenClaw v2026.4.9 已正式推出!本次版本更新实现了 五项重要功能增强 与 二十余项BUG修复,覆盖了安全性强化、内存梦境系统重构、移动端使用体验优化等多个关键领域。
Gemini_Generated_Image_h6qh4mh6qh4mh6qh.png
更新发布概览
此次发布引入了五项关键功能优化与超过二十项BUG修复,着重于提升系统安全性与用户体验。
核心更新亮点
1. 内存梦境系统全面重构
这是本次版本中最具份量的功能升级!
新增特性:
- 🧠 Grounded REM 回填通道:现已支持历史
rem-harness --path操作,使得旧日记能够重新汇入梦境处理流程。 - 📝 结构化日记视图:全新设计的 Control UI 界面,集成了时间线导航、回填与重置控制功能。
- 🔄 日记提交/重置流程:优化了可持久化事实的提取流程,步骤更加清晰明确。
- ⚡ 实时短期记忆增强集成:过往笔记能够无缝重新融入梦境并整合进长期记忆。
💡 用户价值:无需再依赖第二个内存栈,历史笔记也能有效参与梦境构建过程!
2. 安全防护体系重大升级 🔒
本次更新修复了若干安全隐患,强烈建议 所有用户尽快完成升级!
| 安全问题 | 修复详情 | 影响等级 |
|---|---|---|
| SSRF 绕过漏洞 | 在交互式驱动导航后,重新检查被拦截的目标地址 | 🔴 高 |
| .env 注入风险 | 阻止不受信任的工作区在运行时控制环境变量 | 🔴 高 |
| 远程节点注入 | 将远程 exec 事件标记为不可信来源,并净化其输出内容 | 🔴 高 |
| 插件冲突问题 | 防止不受信任的插件与捆绑的 provider 认证机制发生冲突 | 🟠 中 |
| 依赖项漏洞 | 强制将 basic-ftp 依赖升级至 5.2.1 版本 |
🟡 中 |
3. Android 设备配对体验修复
长期困扰 Android 用户的配对难题终于得到解决!
修复内容:
- ✅ 扫描新二维码时自动清除过期的 setup-code 认证信息。
- ✅ 在全新配对过程中正确引导 operator 与 node 会话的建立。
- ✅ 引导交接后,优先使用已存储的设备令牌。
- ✅ 当应用切换至后台时,自动暂停配对的重复尝试。
🎯 最终效果:Android 设备只需扫描一次即可实现稳定可靠的配对连接!
4. Slack 图片附件加载功能修复
Slack 用户可以欢呼了!现在,通过 url_private_download 提供的图片附件能够正常加载显示。
技术实现细节:
- 在同域
files.slack.com的重定向过程中,保持 bearer 认证信息的有效性。 - 在发生跨域跳转至 Slack CDN 时,正确剥离认证信息以避免冲突。
5. Matrix 网关稳定性显著提升
- 确保 Matrix 同步完全就绪后再标记网关启动成功。
- 后台处理器若发生故障,不再导致整个网关服务崩溃。
- 通过通道级别的重启机制来处理致命的同步停止问题。
重要BUG修复列表
会话管理与聊天功能
- 修复:快速在不同会话间切换时,因历史记录重载导致的数据不一致问题。
- 修复:
ANNOUNCE_SKIP与REPLY_SKIP控制令牌泄露到用户界面的异常。 - 修复:
NO_REPLY静默标记文本意外显示在用户可见回复中的问题。 - 修复:在跨会话的 announce 流量传递过程中,维持外部路由信息不丢失。
回复处理与诊断工具
- 修复:回复执行时使用当前活跃运行时的快照数据。
- 修复:网关 OAuth 重新认证失败时,现在会向终端用户显示明确的错误提示。
- 修复:
openclaw doctor命令现在会展示具体的重新认证操作指令。
Slack 平台集成
- 修复:Slack ACP 区块回复被正确处理并标记为已送达的输出状态。
- 修复:部分流式传输场景下的消息去重逻辑问题。
其他方面修复
- 修复:使用
/reset和/new命令时,正确清除自动回退模型的覆盖设置。 - 修复:当 Ollama 模型在
/think指令的非关闭级别下运行时,正常显示思考过程输出。 - 修复:QQBot 媒体标签的解析机制,现已支持 HTML 实体编码。
- 修复:Matrix doctor 工具迁移旧版本配置时的问题。
- 修复:npm 打包流程,确保包含所有必需的依赖项。
当前已知问题
在 v2026.4.9 发布后,社区反馈了以下新出现的问题:
🔴 高优先级问题
- [#63661] 上下文溢出时生成零负载数据
- UI界面会显示无限加载的 spinner 动画而非明确的错误信息。
- 处理状态:等待修复。
- [#63660] 工具返回内容被截断后产生空响应
- 此问题影响了工具调用的用户体验。
- 处理状态:等待修复。
- [#63659] Slack 子代理结果丢失 thread_ts 信息
- 在 DM assistant 线程中可能造成跨线程数据污染。
- 在并发请求场景下容易出现。
- 处理状态:等待修复。
- [#63658] npm 软件包缺少 qa/scenarios/index.md 文件
- 导致 completion cache 更新操作失败。
- 标签:
regression,bug - 处理状态:等待修复。
🟠 中优先级问题
- [#63657] 一次性定时任务在网关注重启后无声丢失
- 标签:
bug:behavior - 处理状态:等待修复。
- 标签:
- [#63655] memory-lancedb:OpenAI SDK 的 base64 编码会破坏非 OpenAI embedding 提供商的功能
- 处理状态:等待修复。
- [#63654] Qwen 3.6-plus 的图像理解功能在 Coding Plan 端点上被阻止
- 尽管该模型本身支持视觉识别。
- 处理状态:等待修复。
- [#63652] memory status 报告显示 embeddings 不可用
- 即使 qmd status 检查结果显示为健康状态。
- 处理状态:等待修复。
升级指导建议
强烈建议立即升级 ⬆️
如果您属于以下任一用户群体,请 尽快执行升级操作:
| 用户类型 | 关键升级原因 |
|---|---|
| 使用 Browser 相关功能 | 涉及关键的 SSRF 安全漏洞修复 |
| 使用多工作区 .env 配置 | 防止环境变量注入攻击 |
| Android 平台用户 | 配对体验得到显著改善 |
| Slack 集成用户 | 确保图片附件能够正常加载 |
| 使用远程节点功能 | 防止 exec 事件注入风险 |
升级操作命令
# 通过 npm 进行升级
npm install -g openclaw@2026.4.9
# 或通过 npx 使用最新版本
npx openclaw@latest
# macOS 用户可直接下载 DMG 安装包
# 下载地址:https://github.com/openclaw/openclaw/releases/tag/v2026.4.9
升级后验证步骤
# 运行系统诊断工具
openclaw doctor
# 检查 OAuth 认证状态
openclaw auth status
建议暂缓升级的场景
如果您的使用场景高度依赖以下功能,可以考虑等待后续修复版本:
- 重度使用 上下文溢出 处理机制(需等待 #63661 问题修复)。
- 使用 非 OpenAI 的 embedding 提供商 并搭配 lancedb(需等待 #63655 问题修复)。
- 对 一次性定时任务 的持久化有严格要求(需等待 #63657 问题修复)。
未来开发计划
根据最新的 Pull Request 与社区讨论,以下功能特性正处于积极开发阶段:
💬 您对此次版本更新有何看法?欢迎在评论区分享您的观点与讨论!