2026年7月2日 周四晚上19:30,报名腾讯会议了解“如何构建自进化的动态知识库(Brain)”(限30人)
免费POC, 零成本试错
FDE知识库

FDE知识库

学习大模型的前沿技术与行业落地应用


收藏

OpenClaw 双版本连发:v2026.3.22 + v2026.3.23 合并更新指南

发布日期:2026-03-24 11:08:23 浏览次数: 4279
作者:PM墨者

微信搜一搜,关注“PM墨者”

推荐语

OpenClaw 双版本重磅更新,10+项安全修复与系统升级助你提升效率与安全性!

核心内容:
1. 两大版本合并更新,包含安全加固、Memory系统重构及多项新功能
2. 重点修复10+项安全漏洞,涵盖核心模块、渠道及配对系统
3. 优化工具链与Agent稳定性,增强主流渠道功能支持

杨芳贤
53AI创始人/腾讯云(TVP)最具价值专家

发布日期: 2026-03-24
更新跨度: 2026.3.13 → 2026.3.22 → 2026.3.23(2 个发布版本)
更新优先级: 🔴 (包含 10+ 项安全修复,建议立即更新)


📋 版本概览

OpenClaw 在 2026-03-23 至 2026-03-24 连续发布两个版本:

版本
发布日期
重点
2026.3.22
2026-03-23
安全加固 + Memory 系统重构 + 新功能
2026.3.23
2026-03-24
Bug 修复 + 渠道增强 + 稳定性优化

本次合并更新包含

  • 🔒 10+ 项安全修复(核心 + 渠道 + 配对)
  • 🧠 Memory 系统重大升级(QMD 后端 + 安全默认值)
  • 🤖 Agents 稳定性修复(超时/空流/Transcript)
  • 📱 渠道功能增强(Telegram/Feishu/Discord/Android)
  • 🛠️ 工具链优化(Exec/Browser/Web 工具)
  • 🐛 50+ 项 Bug 修复

🔒 安全修复(重点)

核心安全加固(2026.3.22)

模块
修复内容
风险等级
Memory/QMD
添加 rawKeyPrefix 支持,防止 scoped deny bypass
🔴 高
Memory-LanceDB
将召回记忆视为不可信上下文,防止 prompt-injection
🔴 高
Memory-LanceDBautoCapture
 默认改为 disabled,需显式开启
🟡 中
Media/Security
本地媒体读取仅限 workspace/ 和 sandboxes/ 根目录
🔴 高
Media/Security
强化本地媒体白名单,拒绝 filesystem-root localRoots
🔴 高
BlueBubbles
需要显式 mediaLocalRoots 白名单
🟡 中
Feishu
强化媒体 URL 获取,防止 SSRF 和本地文件泄露
🔴 高
Hooks
限制 hook transform 模块到 ~/.openclaw/hooks/transforms
🟡 中
Archive
强制执行存档提取条目/大小限制,防止资源耗尽
🟡 中
Telegram
需要数字 Telegram 发送者 ID 进行白名单授权
🟡 中
Telegram
缺少或空的 webhookSecret 时拒绝 webhook 启动
🔴 高
Browser
强化文件上传 + 下载助手,防止路径遍历
🔴 高
Browser
阻止跨源变更请求到 loopback 浏览器控制路由(CSRF)
🟡 中
Exec approvals
防止通过 shell 扩展绕过 safeBins 白名单
🔴 高

认证与配对安全(2026.3.22)

  • Pairing 写入/读取
    : 限定到渠道账户,防止多账户共享配对状态
  • Pairing 令牌
    : 生成 256-bit base64url 配对令牌,字节安全常量时间验证

额外安全加固(2026.3.23)

  • Gateway/Auth
    : 要求 Canvas 路由认证,管理员权限才能重置 Agent 会话
  • Exec 沙盒
    : 阻止构建工具 JVM 注入、glibc 可调参数利用、.NET 依赖劫持
  • Voice-call Webhooks
    : 拒绝缺失签名头的请求,预认证体预算降至 64KB/5s

🧠 Memory 系统重大升级

QMD 后端优化(2026.3.22)

优化项
说明
收益
搜索模式
默认 memory.qmd.searchMode="search"(CPU-only 召回)
速度提升
结果限制
传递结果限制到 search/vsearch 命令,提前限制结果
减少内存
JSON 解析
对嘈杂命令输出具有弹性
稳定性提升
范围查询
使用精确 docid 匹配,然后回退到前缀查找
准确性提升
多集合
每个集合单独查询后合并,避免排名损坏
准确性提升
索引优化
请求 from/lines 窗口时避免读取完整 markdown 文件
性能提升
同步优化
跳过重写未变更的 session export markdown 文件
减少 IO
缓存优化
重用默认模型缓存跨 agents
减少重复下载
批量嵌入
并行化嵌入索引,带速率限制回退
索引速度提升

Memory 安全默认值(2026.3.22)

  • ⚠️ autoCapture 默认禁用:需显式开启,防止意外捕获 PII 数据
  • ⚠️ Prompt 注入防护:跳过可能的 prompt-injection 载荷
  • ⚠️ Watcher 限制:限制 memory watcher 目标到 markdown globs,忽略依赖/venv 目录

Memory 插件修复(2026.3.23)

  • Plugins/memory-lancedb
    : 首次使用时引导 LanceDB 到插件运行时状态
  • Config/plugins
    : 将过时的未知 plugins.allow ids 视为警告而非致命错误

🤖 Agents 稳定性修复

超时与故障处理(2026.3.22)

问题
修复方案
外部超时中止
分类为内部超时,防止不必要的 auth-profile 轮换
空流提供者失败
视为超时类故障转移信号,触发模型回退
Read 工具
将 file_path 参数视为有效,避免误报警告
Transcript 修复
丢弃格式错误的 tool-call 块,防止持久性损坏
Write/Edit
在文件系统编辑前规范化结构化文本块参数,防止 JSON 损坏

模型兼容性(2026.3.22)

  • Ollama
    : 避免强制 <final> 标签执行,防止输出被抑制为 (no output)
  • Codex
    : 允许 gpt-5.3-codex-spark 在前向兼容回退中使用
  • MiniMax
    : 更新默认/推荐模型从 M2.1 到 M2.5,添加 M2.5-Lightning

会话管理(2026.3.22)

  • Compaction
    : 集中 exec 默认解析,确保每 agent 配置在回退后保持
  • Sessions
    : 在 /new 和 /reset 时归档之前的 transcript 文件
  • Status
    : 停止将 totalTokens 限制到上下文窗口大小

Agents 额外修复(2026.3.23)

模块
修复内容
Agents/web_search
使用活跃运行时 web_search 提供者,而非过时/默认选择
Agents/skills
优先使用活跃解析的运行时快照进行嵌入式技能配置
Agents/subagents
在发送完成事件前重新检查超时的 worker 等待
Agents/Anthropic
在 transcript 图像清理期间保持最新的 assistant thinking 块顺序

🛠️ 工具与技能优化

Exec 工具(2026.3.22)

  • ✅ PTY 支持: 添加 PTY 支持用于交互式会话
  • ✅ Process 工具: 添加 tmux 风格 send-keys 和 bracketed paste 助手
  • ✅ Process submit: 添加助手发送 CR 到 PTY 会话
  • ✅ PTY 查询: 响应 PTY 光标位置查询,解锁交互式 TUI

Browser 工具(2026.3.22)

  • ✅ 远程代理: 添加 node-host 代理自动路由用于远程网关
  • ✅ ARIA 参考: 注册 AI snapshot refs 用于 act 命令
  • ✅ 配置默认: 允许高效 snapshot 的配置默认

Browser 修复(2026.3.23)

问题
修复方案
Chrome MCP 附加
等待现有会话浏览器标签变为可用,减少 macOS Chrome 附加流程的超时
CDP 重用
短暂初始连接失败后重用已运行的 loopback 浏览器
ClawHub/macOS
honored macOS auth 配置,技能浏览不再回退到未认证模式

Web 工具(2026.3.22)

  • ✅ web_fetch: 使用 Readability 改进提取(带回退)
  • ✅ Firecrawl: 添加 Firecrawl 回退,当配置时
  • ✅ SSRF 保护: 强化 SSRF 保护,带共享主机名检查和重定向限制

📱 渠道功能增强

Telegram(2026.3.22 + 2026.3.23)

版本
功能/修复
2026.3.22
语音消息支持 MP3/M4A 用于 asVoice 路由
2026.3.22
Bot 菜单注册限制到 100 命令(防止 BOT_COMMANDS_TOO_MUCH
2026.3.22
技能命令限定到解析的 agent
2026.3.22
添加 channels.telegram.linkPreview 切换出站链接预览
2026.3.23
保持同聊天入站去抖顺序,防止 stray 后续跟进
2026.3.23
添加 asDocument 作为 forceDocument 的用户友好别名

Discord(2026.3.22 + 2026.3.23)

版本
功能/修复
2026.3.22
从本地音频文件发送带波形预览的语音消息
2026.3.22
添加可配置存在状态/活动/类型/URL
2026.3.22
路由 autoThread 回复到现有线程,而非根渠道
2026.3.23
为特权原生斜杠命令返回明确的未授权回复

Feishu(2026.3.22 + 2026.3.23)

版本
功能/修复
2026.3.22
通过 Card Kit API 添加流式卡片回复
2026.3.22
使用 firstLevelBlockIds 保留顶层转换块顺序
2026.3.23
Discord components 和 Slack blocks 改为可选
2026.3.23
Feishu message(..., media=...) 通过出站媒体路径发送

Android(2026.3.22)

  • ✅ 系统感知暗色主题 across onboarding 和 post-onboarding 屏幕
  • ✅ 添加 callLog.search 通话记录搜索
  • ✅ 添加 sms.search 短信搜索

其他渠道(2026.3.22)

渠道
改进
Slack
添加线程所有权出站门控,emoji-list 动作 honor limit
WhatsApp
保留出站文档文件名,为语音消息默认 MIME 类型

🌐 提供者改进

新提供者(2026.3.22)

提供者
说明
Hugging Face
一流 Hugging Face Inference 提供者支持
vLLM
添加 vLLM 作为 onboarding 提供者
Z.AI
端点特定 auth 选择(zai-coding-globalzai-coding-cn 等)

现有提供者更新(2026.3.22)

提供者
更新内容
Ollama
使用配置的 baseUrl 进行模型发现,规范化 /v1 端点
MiniMax
切换到隐式 API-key 提供者从 openai-completions 到 anthropic-messages
OpenAI Codex
实现端到端 gpt-5.3-codex-spark 支持
MiniMax
 (2026.3.23)
降低 max-token 默认值到安全输出预算,修复 422 拒绝

OAuth 修复(2026.3.23)

  • OpenAI Codex OAuth
    : 在存储凭证刷新路径前初始化 HTTP/HTTPS 代理调度器
  • Plugins/MiniMax OAuth
    : 确保 env-configured HTTP/HTTPS 代理调度器在 OAuth 预检前初始化

🔧 CLI 与网关优化

命令改进(2026.3.22)

命令
改进
completion
添加 Zsh/Bash/PowerShell/Fish 自动补全
models status
添加每-agent --agent 过滤器
plugins uninstall
添加 --dry-run--force--keep-files 选项
logs
添加 --local-time 显示本地时区时间戳

网关改进(2026.3.22)

  • ✅ WebSocket: 提高 WS 负载/缓冲限制,支持 5MB 图像附件
  • ✅ 重启: 重启前排空活跃 turns,防止消息丢失
  • ✅ Control UI: 解析缺失的 dashboard 资产,当全局安装时

配置优化(2026.3.22)

  • ✅ Env 变量: 保留 ${VAR} env 引用,写配置文件时
  • ✅ Schema: 接受 $schema 键在配置文件,支持 JSON Schema 编辑器

网关修复(2026.3.23)

模块
修复内容
Gateway/probe
阻止成功的 gateway 握手在加载后连接详情 RPCs 时超时
Gateway/supervision
阻止锁冲突在 launchd 和 systemd 下 crash-looping
Gateway/model pricing
阻止 openrouter/auto 定价刷新在引导时无限递归

📊 Control UI 改进(2026.3.22)

功能
说明
会话链接
从 dashboard 添加 cron 运行历史深度链接
Token 使用
添加 token 使用 dashboard
RTL 支持
为希伯来语/阿拉伯语文本添加 RTL 自动方向支持
聊天布局
刷新聊天布局,扩展会话活跃持续时间
配置表单
强制表单编辑器值到 schema 类型,防止序列化问题

🐛 其他重要修复

心跳与 Cron(2026.3.22)

问题
修复方案
心跳调度器
防止静默死亡竞赛,保留重试冷却回退
Cron agentId
使用请求的 agentId 用于 isolated job auth 解析
Cron 执行跳过
防止 cron 作业跳过执行,当 nextRunAtMs 前进时
Cron timers
重新武装 timers,当 onTimer 触发而作业仍在执行时

平台特定(2026.3.22)

平台
修复内容
macOS
修复 cron 负载摘要渲染和 ISO 8601 格式化器并发安全
Windows
避免 shell 调用,当生成子进程时,防止 cmd.exe 元字符注入
Docker
更新 docker-compose 中的网关命令和 Hetzner 指南

技能相关(2026.3.22)

  • ✅ Skill 安装: 强化下载安装技能的存档提取,防止路径遍历
  • ✅ Skill 命令: 添加用户可调用的技能命令和扩展技能命令注册

插件修复(2026.3.23)

模块
修复内容
Plugins/Matrix
修复重复房间事件、权限配置、机器人互聊问题
Doctor/WhatsApp
阻止 auto-enable 将内置渠道 ids 添加到 plugins.allow
Config/plugins
将过时的未知 plugins.allow ids 视为警告而非致命错误

⚠️ 破坏性变更

配置迁移(2026.3.22)

变更
影响
迁移方案
Legacy 路径
移除 .moltbot 自动检测和 moltbot.json 配置
迁移到 ~/.openclaw
Memory 配置
迁移顶层 memorySearch 到 agents.defaults.memorySearch
运行 openclaw doctor --fix

安全默认值(2026.3.22)

变更
影响
迁移方案
Gateway Auth
"none" 模式已移除,需要 token/password
配置认证
Memory AutoCapture
默认禁用,需显式开启
如需启用,设置 autoCapture: true

🚀 更新建议

推荐立即更新的情况 ✅

  • 使用 Memory/LanceDB 功能(安全修复关键
  • 启用自动记忆捕获(默认现已禁用)
  • 使用 Telegram webhook(需要 webhookSecret
  • 使用配对功能(增强的令牌安全)
  • 使用 ClawHub 安装技能(修复安装失败问题)
  • 使用 MiniMax 模型(默认已升级至 M2.7)

可以稍后更新的情况 ⏸️

  • 仅使用基本聊天功能
  • 已配置严格的安全策略
  • 生产环境且需要更多测试时间

📝 更新命令

# 方式 1: npm 全局更新
npm update -g openclaw

# 方式 2: 从源码更新
cd ~/.openclaw/workspace && git pull && pnpm install

# 更新后重启网关
openclaw gateway restart

# 运行修复检查
openclaw doctor --fix

# 检查状态
openclaw status

✅ 更新后检查清单

  • 运行 openclaw doctor --fix 修复配置
  • 检查 openclaw security audit 输出
  • 验证 Memory 功能(如使用):openclaw memory status
  • 测试渠道连接(Telegram/Signal/Feishu 等)
  • 确认配对功能正常(如使用)
  • 验证插件状态:openclaw plugins list
  • 检查 Control UI 可访问性

📚 相关文档

  • 完整 CHANGELOG
    https://raw.githubusercontent.com/openclaw/openclaw/main/CHANGELOG.md
  • 安全审计指南
    https://docs.openclaw.ai/gateway/security)
  • 记忆系统文档
    https://docs.openclaw.ai/concepts/memory)
  • Exec 审批
    https://docs.openclaw.ai/tools/exec)
  • ClawHub 技能市场
    https://docs.openclaw.ai/tools/clawhub)

本文由 OpenClaw AI 助手「小墨」协助整理,基于官方 CHANGELOG 编写。


53AI,企业落地大模型首选服务商

产品:场景落地咨询+大模型应用平台+行业解决方案

承诺:免费POC验证,效果达标后再合作。零风险落地应用大模型,已交付160+中大型企业

联系我们

售前咨询
186 6662 7370
预约演示
185 8882 0121

微信扫码

添加专属顾问

回到顶部

加载中...

扫码咨询

扫码登录
登录即表示您同意《53AI网站服务协议》
服务协议

欢迎您使用【53AI 官方网站】(以下简称“本网站”或“我们”)。本《会员服务协议》(以下简称“本协议”)是您(以下简称“会员”或“用户”)与【深圳市博思协创网络科技有限公司】之间关于注册、登录及使用本网站会员服务所订立的法律协议。

在您注册或登录前,请务必审慎阅读、充分理解各条款内容,特别是免除或限制责任的条款、知识产权条款、争议解决条款等。此类条款将以加粗形式提示您注意。 当您通过微信公众号授权、手机验证码验证或其他方式成功登录本网站时,即视为您已完全理解并同意接受本协议的全部内容。

一、 定义

本网站:指由【深圳市博思协创网络科技有限公司】运营的,域名为【53ai.com】的网站及相关移动端页面。

会员服务:指本网站向注册会员提供的知识库文章查阅、内容检索及其他相关增值服务。

知识库内容:指本网站发布的包括但不限于文字、图表、数据、研究报告、行业分析等数字化内容资源。

二、 账号注册与登录

登录方式:本网站支持以下登录方式,您可根据实际情况选择:

微信公众号授权登录:您同意将您的微信OpenID信息授权给本网站,用于创建或关联会员账号。

手机验证码登录:您需提供真实有效的手机号码,并通过短信验证码完成身份验证与登录/注册。

账号安全:您的账号仅限您本人使用,禁止赠与、借用、租用、转让或售卖。因您保管不善导致的账号被盗、密码泄露等损失,由您自行承担。

实名认证:根据相关法律法规要求,我们可能要求您在特定功能下完成实名认证。如您拒绝提供,可能无法使用部分或全部服务。

未成年人保护:若您未满18周岁,请在法定监护人的陪同下阅读本协议,并在征得监护人同意后使用本服务。

三、 服务内容与规范

知识库查阅权限:会员登录后,有权按照其会员等级对应的权限范围,在线浏览、检索本网站知识库中的相关文章及内容。

服务变更:我们有权根据业务发展需要,调整、变更或终止部分服务内容,并将以网站公告、公众号消息等方式提前通知。

禁止行为:您在使用服务时不得实施以下行为:

利用技术手段批量爬取、下载、转存知识库内容;

将知识库内容用于商业目的或未经授权地向第三方传播;

干扰本网站正常运行或侵犯其他用户合法权益;

发布违法违规信息或从事违反公序良俗的活动。

四、 知识产权声明

权利归属:本网站知识库中的排版设计、软件代码等内容的知识产权均归【公司全称】或原权利人所有,受《中华人民共和国著作权法》等法律保护。

有限许可:本网站授予会员一项非独占、不可转让、不可转授权的普通许可,仅限于个人学习、研究之目的在线查阅知识库内容。

侵权追责:未经书面许可,任何单位或个人不得以任何形式复制、转载、摘编、镜像、汇编或以其他方式使用上述内容。一经发现,我们保留追究其法律责任的权利。

五、 个人信息保护

我们重视对您个人信息的保护。关于我们如何收集、使用、存储和保护您的个人信息,请单独阅读 《隐私政策》。

您通过微信公众号授权或手机号验证所提供的信息,我们将严格按照《个人信息保护法》的规定处理,仅用于身份识别、服务提供及安全验证等必要用途。

您可以随时通过网站设置或联系客服行使查阅、更正、删除个人信息及撤回授权同意的权利。

六、 免责声明

内容准确性:知识库内容仅供参考,不构成专业建议。我们不对其完整性、准确性、时效性作任何明示或暗示的保证,您应自行判断并承担使用风险。

不可抗力:因自然灾害、政策法规变化、网络故障、第三方平台接口异常(如微信接口维护、运营商短信通道故障)等不可抗力导致的服务中断或延迟,我们不承担违约责任。

第三方链接:本网站可能包含指向第三方网站的链接,该等网站的内容和服务不受我们控制,请您自行甄别风险。

七、 违约责任

如您违反本协议约定,我们有权视情节采取警告、限制功能、暂停服务、注销账号等措施,并保留要求赔偿损失的权利。

如因您的违约行为导致我们遭受行政处罚、第三方索赔或商誉损失,您应承担全部赔偿责任(包括但不限于罚款、赔偿金、律师费、公证费等)。

八、 法律适用与争议解决

本协议的订立、执行和解释均适用中华人民共和国大陆地区法律。

因本协议产生的或与本协议有关的任何争议,双方应友好协商解决;协商不成的,任何一方均可向【公司所在地】有管辖权的人民法院提起诉讼。

九、 其他

本协议构成双方就本服务达成的完整协议,取代此前任何口头或书面约定。

本协议任一条款被认定为无效或不可执行的,不影响其他条款的效力。

我们对本协议享有最终解释权,并在法律允许的范围内保留随时修改的权利。修改后的协议一经公布即生效,继续使用服务即视为同意修订内容。


已查阅