OpenClaw v2026.4.9 重磅发布:记忆如梦境般重塑,安全体系全面加固
我们很高兴地宣布 OpenClaw v2026.4.9 版本现已正式发布。本次更新带来了记忆与梦境系统的革命性升级,实施了全面的安全加固措施,并优化了 iOS 版本的发布管理流程,同时包含超过二十项功能修复与稳定性改进。
版本亮点速览
| 📦 项目 | 详情 |
|---|---|
| 版本号 | v2026.4.9 |
| 发布日期 | 2026年04月09日 |
| 核心特性 | 记忆系统升级、安全加固 |
| 修复数量 | 20+ 项 |
| 主要贡献者 | @mbelinky、@eleqtrizit、@ngutman 等 |
三大核心升级
一、记忆与梦境系统实现重大演进
该版本创新性地引入了 REM 记忆回填机制,使得 AI 助手能够模拟人类的睡眠梦境过程,对记忆进行整理与巩固。其核心流程可概括为:旧有日志 → 梦境整理 → 转化为长期记忆。
新增的关键功能包括:
| 功能 | 说明 |
|---|---|
| 历史日志回放 | 通过执行 rem-harness --path 命令,系统能够自动将旧日志转化为结构化的梦境与长期记忆。 |
| 结构化日记视图 | 提供了清晰的时间线导航界面,支持对记忆回填过程进行控制与重置,并生成可追溯的梦境摘要。 |
| 场景化记忆提升 | 新增了场景通道(Scene lane)与专门的提升提示,增强了记忆与特定情境的关联性。 |
| 安全记忆管理 | 支持安全地清除已确认的记忆内容,有效防止潜在的记忆污染问题。 |
技术意义:这一升级使得 AI 助手能够像人类一样通过“梦境”来整理和巩固记忆,无需依赖额外的记忆栈即可实现记忆的持久化,标志着其在向“长期智能伙伴”演进的道路上迈出了关键一步。
二、安全防护体系得到系统性加固
本次更新在六个关键安全领域实施了重点强化,显著提升了系统的整体安全性。
| 安全领域 | 修复内容 | 风险等级 |
|---|---|---|
| 浏览器安全 | 在每次交互后重新执行目标 URL 的安全检查,有效防止服务器端请求伪造(SSRF)攻击的绕过。 | 🔴 高 |
| .env 文件安全 | 阻止工作空间内的 .env 配置文件覆盖运行时的关键环境变量。 |
🔴 高 |
| 节点执行安全 | 将远程节点的执行输出标记为不可信内容,防止潜在的 System 内容注入攻击。 | 🔴 高 |
| 依赖审计 | 强制将 basic-ftp 依赖升级至安全版本 5.2.1,修复了已知的 CRLF 命令注入漏洞。 |
🟡 中 |
| 插件认证 | 修复了工作空间插件可能与捆绑的提供商认证机制产生冲突的问题。 | 🟡 中 |
| 网关安全 | 对 Hono 及 @hono/node-server 在生产环境下的路径处理进行了升级。 |
🟢 低 |
三、iOS 版本管理机制实现规范化
本次更新对 TestFlight 的发布流程进行了规范化设计,制定了明确的版本管理策略。
{
"版本策略": "采用 CalVer(日历版本)规范",
"配置文件": "位于 `apps/ios/version.json`",
"迭代规则": "同一短版本号下可进行多次迭代更新,直至维护者主动升级主版本",
"新工作流": "支持通过 `pnpm ios:version:pin -- --from-gateway` 命令进行操作"
}
优化带来的效果:
- 版本锁定明确:采用日历版本号,避免了版本号的混乱。
- TestFlight 迭代高效:减少了因微小更新而导致的不必要版本号升级。
- 发布流程自动化:支持从网关状态自动派生出正确的版本号,实现了“发布列车”模式。
重要修复清单
多平台稳定性显著提升
Android 配对功能修复
- 清理了过期的设置代码认证信息。
- 在扫描新二维码后,能正确重新引导操作员与节点的会话建立。
- 当应用进入后台时,暂停配对的自动重试机制。
- 效果:显著提升了
scan-onceAndroid 配对功能的可靠性恢复能力。
Matrix 网关优化
- 等待 Matrix 同步完全就绪后,才标记网关启动成功。
- 对后台处理失败进行隔离,避免导致整个网关进程崩溃。
- 通过通道级别的重启机制来处理致命错误。
- 效果:Matrix 连接的稳定性得到进一步加强。
Slack 媒体加载修复
- 在相同来源的文件跳转中保留 bearer 令牌认证。
- 在跨域 CDN 跳转时,安全地剥离认证信息。
- 修复了
url_private_download类型图片附件的加载问题。 - 效果:Slack 对话中的图片附件现在可以正常显示。
会话管理与路由逻辑优化
| 修复项 | 说明 | 效果 |
|---|---|---|
| 会话路由保持 | 保持已建立的外部消息路由。 | 防止 sessions_send 意外劫持 Telegram/Discord 等平台的消息。 |
| 模型覆盖清除 | 在执行 /reset 和 /new 命令时,清除自动回退的模型覆盖设置。 |
确保用户显式选择的模型偏好得以保留。 |
| NO_REPLY 标记处理 | 在文本规范化处理前,剥离消息中前导的 NO_REPLY 标记。 |
防止本应静默的文本内容被意外发送出去。 |
| Slack ACP 块回复 | 将 Slack ACP 块的回复视为已成功交付。 | 停止向同一区块重复发送回复消息。 |
开发者工具链持续改进
npm 打包流程优化
- 实现了对捆绑通道运行时依赖的镜像管理。
- 预置了 Nostr 协议的运行时依赖。
- 从 manifest 文件自动派生出必需的根镜像。
- 现在进行打包测试时,无需依赖完整的仓库
node_modules。
插件 SDK 增强
- 通过公共包导出了通道插件的基础框架。
- 将命令状态构建器分离到轻量级的子路径导出中。
- 专用于认证的插件不再拉取状态管理与上下文预热等重型模块。
完整修复列表
| 模块 | 修复内容 | 贡献者 |
|---|---|---|
| Browser/Security | 交互后重新执行 URL 安全检查 | @eleqtrizit |
| Security/Dotenv | 阻止 .env 文件覆盖运行时变量 |
@eleqtrizit |
| Gateway/Node Exec | 对节点执行输出进行净化处理 | @eleqtrizit |
| Plugins/Auth | 防止插件认证冲突 | @pgondhi987 |
| Android/Pairing | QR 码扫描配对流程修复 | @obviyus |
| Matrix/Gateway | 增加同步就绪等待逻辑 | @gumadeiras |
| Slack/Media | 保留同源跳转的 Bearer 认证 | @vincentkoc |
| Reply/Doctor | OAuth 重新认证提示优化 | @mbelinky |
| Control UI | 会话历史重载保护机制 | @scoootscooob |
| Gateway/Chat | 抑制控制令牌的意外泄露 | @Pinghuachiu |
| Auto-reply | 规范化处理 NO_REPLY 标记 |
@frankekn |
| Sessions/Routing | 保持已建立的外部路由 | @duqaXxX |
| Gateway/Sessions | 清除自动回退的模型覆盖 | @frankekn |
| Slack/ACP | 对块回复进行去重处理 | @gumadeiras |
| Matrix/Doctor | 遗留配置的迁移处理 | @lukeboyett |
| NPM Packaging | 优化依赖镜像机制 | @scoootscooob |
| QA/Live Auth | 认证失败时快速失败机制 | @shakkernerd |
| Providers/OpenAI | 设置 Reasoning effort 的默认值 | - |
| Providers/Ollama | 增加对 Thinking 输出的支持 | @hoyyeva |
| Codex CLI | 确保 System prompt 正确传递 | - |
| Auth/Profiles | 实现认证配置的持久化存储 | - |
| Agents/Timeouts | LLM 空闲超时设置的继承优化 | @drvoss |
| Agents/Failover | 改进 Z.ai 错误的分类逻辑 | @1bcMax |
| QQBot/Media | 修复 HTML 实体解析问题 | @ylc919 |
| Memory/Dreaming | 加固记忆回填功能 | @mbelinky |
| Android/Connect | 优化 TLS 端口处理逻辑 | @Tyler-RNG |
| Windows/Update | 增加堆内存分配 | - |
| Plugin SDK | 导出公共 API | - |
| Plugins/Contracts | 隔离测试辅助工具 | @altaywtf |
| Control UI/Models | 修正 OpenRouter 模型引用 | @sallyom |
| Plugin SDK/Auth | 分离命令状态构建逻辑 | @hxy91819 |
观察与分析:记忆系统开启AI助手进化新篇章
v2026.4.9 版本中最引人注目的无疑是记忆与梦境系统的全面升级。这不仅仅是一次常规的功能迭代,更是将 AI 助手从被动响应的“工具”转变为具有持续学习与记忆能力的“伙伴”的关键里程碑。
此次升级的重要性体现在与传统AI的对比中:
| 对比维度 | 传统 AI 助手 | OpenClaw v2026.4.9 |
|---|---|---|
| 记忆持久性 | 对话结束,记忆即消失。 | 对话内容可自动整理并转化为长期记忆。 |
| 记忆可追溯性 | 无法追溯信息或决策的来源。 | 每一条记忆都带有清晰的情境与来源标注。 |
| 记忆管理 | 用户无法对AI的记忆进行干预。 | 支持安全地查看、确认乃至清除特定记忆。 |
| 学习连续性 | 每次对话都近乎从零开始。 | 能够基于累积的历史记忆进行持续学习和上下文理解。 |
这一进步为实际应用开辟了广阔场景:
- 个性化学习助手:记忆你的学习轨迹、知识薄弱点与个人偏好,提供定制化辅导。
- 高效工作伙伴:记录项目讨论的全过程、决策依据与待办事项,成为可靠的数字同事。
- 贴心生活管家:熟悉你的生活习惯、日程安排与家庭信息,提供主动的提醒与服务。
- 长期目标追踪者:持续跟踪个人或项目的长期目标进展,并基于历史记录提供回顾与分析。
升级指南
立即进行升级
# 1. 更新 OpenClaw 核心
openclaw update
# 2. 运行诊断工具,验证安装完整性
openclaw doctor
# 3. 如果遇到认证相关问题,请按照提示重新进行认证
openclaw auth reauth
iOS 用户注意事项
- TestFlight 测试用户:更新将自动推送,无需手动操作。
- App Store 正式版用户:请等待应用商店审核通过后,在 App Store 中获取更新。
开发者特别提示
# 全新安装时,系统将更快地检测并提示缺失的依赖
pnpm install
# 建议运行以下命令,验证开发环境的完整性
pnpm doctor
相关资源
| 资源类型 | 链接 |
|---|---|
| GitHub 发布页面 | v2026.4.9 |
| 完整更新日志 | 详见 GitHub Release 页面 |
| 问题反馈与建议 | GitHub Issues |
| 加入社区讨论 | Discord |
版本前瞻
下一版本 v2026.4.10 已在规划中,预计将包含以下方向:
- 扩展模型支持:接入更多AI模型提供商。
- 控制界面优化:进一步提升用户界面的交互体验与视觉设计。
- 性能监控增强:引入更强大的系统性能监控与诊断工具。
- 插件生态繁荣:扩展插件开发框架,支持更丰富的第三方插件。