推荐语

OpenClaw 2026.4.2版本带来任务流重构、执行审批优化与安全加固，让AI工作流更高效可靠。

核心内容：
1. 任务流底层重构，支持状态跟踪与子任务管理
2. 网关默认启用YOLO执行模式，简化本地审批流程
3. 安全加固：统一传输授权、修复漏洞、收紧插件边界

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

摘要：OpenClaw 2026.4.2版本发布，发布后主分支完成23 次更新，核心围绕任务流、执行审批、AI 提供者、插件安全与传输路由全面升级。本次含2 项破坏性更新，xAI 搜索与Firecrawl 网页抓取配置迁移至插件专属路径，可通过openclaw doctor --fix 一键迁移。

功能上，重构任务流底层，支持状态跟踪、子任务管理与接口开放；网关默认启用YOLO 执行模式，简化本地审批流程；新增代理回复钩子，强化Copilot、Kimi 等模型适配，优化飞书、Slack、Teams 等多平台交互体验。

安全与修复层面，统一HTTP/websocket 传输授权与TLS 配置，加固路由防护；修复权限冲突、跨平台执行失败、消息格式异常、媒体处理丢失等问题；收紧插件激活边界，规范配置解析，提升系统稳定性与安全性，整体实现更少冗余、更可靠运行。

惯例三个问题Q&A Q1:本次更新的破坏性更新有哪些，如何平滑迁移？答：共2 项破坏性更新，分别是xAI 插件的x_search 配置路径迁移、web fetch 插件的Firecrawl 配置路径迁移；可通过执行openclaw doctor --fix命令一键完成遗留配置迁移。Q2:执行默认设置的核心变更是什么，对用户有何影响？答：网关/ 节点主机执行默认改为YOLO 模式，开启security=full、ask=off，主机审批回退与文档对齐；用户无需手动确认即可执行，提升效率，同时保持安全策略。Q3:版本在安全与稳定性上做了哪些关键加固？答：一是收紧插件激活边界，保留激活来源与元数据；二是统一提供者传输路由，集中授权、TLS、头部管理，阻止不安全覆盖；三是修复SSRF、路径遍历、权限越界等漏洞，提升多平台运行稳定性。

本次版本亮点

🔄耐用任务流编排

🔓更好的本地执行默认设置+ 审批

🤖 Copilot + Kimi +提供者强化

🔌更严格的插件激活边界

🛡️加固的提供者传输+ 路由

更少的膨胀。更多的龙虾。

openclaw 2026.4.2  steipete 

·自此版本发布以来，主分支上已提交23次更新

v2026.4.2d74a122

破坏性更新

lPlugins/xAI：将 x_search 设置从遗留核心 tools.web.x_search.* 路径移至插件拥有的 plugins.entries.xai.config.xSearch.* 路径，标准化 x_search 认证为 plugins.entries.xai.config.webSearch.apiKey / XAI_API_KEY，并使用 openclaw doctor --fix 迁移遗留配置。（#59674）感谢 @vincentkoc。

lPlugins/web fetch: 将Firecrawl web_fetch 配置从遗留的core tools.web.fetch.firecrawl.* 路径移动到插件拥有的plugins.entries.firecrawl.config.webFetch.* 路径，通过新的fetch-provider 边界路由web_fetch 回退，而不是Firecrawl 专用核心分支，并使用openclaw doctor --fix 迁移遗留配置。(#59465) 感谢@vincentkoc。

变更

l任务/任务流程：恢复核心任务流程底层，具备管理与镜像同步模式、持久的流程状态/版本跟踪，以及openclaw流程检查/恢复原语，以便背景编排可以持续进行并与插件创作层分开操作。(#58930) 感谢@mbelinky。

l任务/任务流程：添加托管子任务生成以及粘性取消意图，以便外部调度器能够立即停止调度，并在活动子任务完成后让父任务流程状态变为已取消。（#59610）谢谢@mbelinky。

lPlugins/Task Flow: 添加一个绑定的api.runtime.taskFlow 接口，以便插件和受信的创作层能够从主机解析的OpenClaw 上下文中创建和驱动受管理的任务流程，而无需在每次调用时传递所有者标识符。(#59622) 感谢@mbelinky。

lAndroid/assistant: 添加助手角色入口点以及Google Assistant 应用操作元数据，以便Android 可以通过助手触发器启动OpenClaw，并将提示传入聊天创作者。(#59596) 感谢@obviyus。

l执行默认设置：使网关/节点主机执行默认设置为YOLO模式，通过请求security=full和ask=off，并使主机审批文件的回退以及docs/doctor报告与该无提示默认设置对齐。

lProviders/runtime: 为转录政策、重放清理和推理模式调度添加供应商拥有的重放钩子接口。(#59143) 感谢@jalehman。

l插件/钩子：添加before_Agent_reply，以便插件可以在内联操作后用合成回复短路LLM。(#20067) 感谢@JoshuaLelon。

l渠道/会话路由：将特定于提供者的会话对话语法移入插件拥有的会话密钥表面，保持Telegram主题路由和Feishu范围继承于启动、模型覆盖、重启和工具策略路径中。

lFeishu/comments: 增加一个专门的Drive 评论事件流程，具有评论线程上下文解析、在线回复和feishu_drive 评论操作，以支持文档协作工作流程。(#58497) 感谢@wittam-01。

lMatrix/plugin: 在文本发送、媒体字幕、编辑、投票备用文本和基于动作的编辑中发出符合规范的m.mentions 元数据，以便Matrix 提到的内容在像Element 这样的客户端中可靠地通知。(#59323) 感谢@gumadeiras。

lDiffs: 添加插件拥有的viewerBaseUrl，以便查看器链接可以使用稳定的代理/公共源，而无需在每个工具调用中传递baseUrl。（#59341）相关#59227。感谢@gumadeiras。

l代理/压缩：在手动/压缩和其他上下文引擎压缩路径中一致地解析agents.defaults.compaction.model，因此引擎所有的压缩在运行时入口点使用配置的覆盖模型。（#56710）感谢@oliviareid-svg。

l代理/压缩：添加agents.defaults.compaction.notifyUser，使得 🧹 压缩上下文... 开始通知为自选，而不是总是显示。(#54251) 感谢@oguricap0327。

lWhatsApp/reactions: 为代理反应添加反应级别指导。谢谢@mcaxtr。

执行审批/渠道：在支持的渠道能够从现有所有者配置推断审批者时，自动启用以DM为首的本地聊天审批，同时保持渠道下发明确，并阐明转发与本地审批客户端配置的区别。

修复程序

l提供者/传输政策：集中请求授权、代理、TLS和头部塑形，跨共享HTTP、流和websocket路径，阻止不安全的TLS/运行时传输覆盖，并保持代理跳转TLS与目标mTLS设置分开。（#59682）感谢@vincentkoc。

lProviders/Copilot：在共享提供者端点解析器中对原生GitHub Copilot API主机进行分类，并强化基于令牌的代理端点解析，以确保Copilot基础URL路由保持集中，并在格式不正确的提示上安全失败。(#59644) 感谢@vincentkoc。

l提供者/流媒体头信息：在OpenAI websocket、嵌入式运行器和代理流路径中集中默认和归属头信息的合并，以确保特定提供者的头信息保持一致，并且调用者的覆盖仅在预期的情况下生效。(#59542) 感谢@vincentkoc。

l提供者/媒体HTTP：集中处理基础URL 标准化、默认身份验证/头部注入以及跨共享OpenAI 兼容音频、Deepgram 音频、Gemini 媒体/图像和Moonshot 视频请求路径的显式头部覆盖处理。（#59469）感谢@vincentkoc。

lProviders/OpenAI兼容路由：集中管理本地与代理请求策略，以便隐藏归因和相关OpenAI家族默认设置仅适用于跨流、websocket和共享音频HTTP路径的验证本地端点。(#59433) 感谢@vincentkoc。

lProviders/Anthropic路由：集中管理原生与代理端点分类，以便于直接处理Anthropic服务层，确保伪造或代理的主机不继承原生Anthropic默认设置。（#59608）感谢@vincentkoc。

lGateway/exec loopback：恢复空配对设备令牌映射的传统角色后备，并允许静默本地角色升级，以便在2026.3.31之后本地exec和节点客户端停止因需配对而失败的错误。（#59092）感谢@openperf。

l代理/子代理：将仅管理员的子代理网关调用固定在operator.admin 同时保持代理的最低权限，因此sessions_spawn 在与close(1008) "需要配对" 的环回范围升级配对时不再出现崩溃。（#59555）感谢@openperf。

lExec approvals/config：在规范化过程中，从~/.openclaw/exec-approvals.json中剔除无效的security、ask和askFallback值，以便格式不正确的策略枚举能够顺利回退到文档中记录的默认值，而不是破坏运行时策略解析。(#59112) 感谢@openperf。

l执行批准/医生：报告来自真实批准文件路径的主机策略来源，并在归因有效策略冲突时忽略格式不正确的主机覆盖值。(#59367) 感谢@gumadeiras。

lExec/runtime: 将tools.exec.host=auto视为仅路由，保持在可用情况下对沙箱的隐式无配置执行，或在其他情况下使用网关，并拒绝每个调用的主机覆盖，这些覆盖将绕过配置的沙箱或主机目标。(#58897) 感谢@vincentkoc。

lSlack/mrkdwn 格式：在输入上下文中添加内置的Slack mrkdwn 指导，以便Slack 回复不再回退到在Slack 中呈现不佳的通用Markdown 模式。（#59100）感谢@jadewon。

lWhatsApp/状态：在自聊模式下连接时发送不可用状态，以便个人手机用户在网关运行时停止丢失所有推送通知。(#59410) 感谢@mcaxtr。

lWhatsApp/media: 将HTML、XML和CSS添加到MIME映射中，并对未知媒体类型优雅地回退，而不是丢弃附件。(#51562) 感谢@bobbyt74。

lMatrix/onboarding: 在openclaw channels中恢复引导设置，添加和openclaw configure --section channels，同时保持自定义插件向导在共享setupWizard的接缝上。(#59462) 感谢@gumadeiras。

lMatrix/streaming：在启用channels.matrix.blockStreaming时，保持当前助手模块的实时部分预览，同时将已完成模块的更新作为单独消息保留。（#59384）感谢@gumadeiras。

lFeishu/comment threads: 加强文档评论线程的交付，使整个文档评论回退至add_comment，延迟回复查找更加可靠地重试，用户可见的回复避免推理/计划的溢出。(#59129) 感谢@wittam-01。

lMS Teams/streaming: 当回复超过4000字符的流限制时，剔除回退块交付中已经流式传输的文本，以便长回复不重复内容。(#59297) 感谢@BradGroux。

lSlack/线程上下文：通过有效的对话允许列表过滤线程启动者和历史记录，而不丢失有效的开放房间、直接消息或群组直接消息上下文。（#58380）感谢@jacobtomlinson。

lMattermost/probes: 通过SSRF 保护路由状态探测，并尊重allowPrivateNetwork，以确保连接检查对自托管的Mattermost部署保持安全。(#58529) 感谢@mappel-nv。

lZalo/webhook 重放：通过聊天和发送者的范围重放去重关键，以便不同聊天或发送者之间重用的消息ID 不再冲突，并增强部分缺失有效载荷的元数据读取。(#58444)

lQQBot/结构化负载：限制本地文件路径到QQ Bot拥有的媒体存储，阻止遍历到该根目录外，减少日志中的路径泄露，同时保持内联图像数据URL的正常工作。(#58453) 感谢@jacobtomlinson。

l图像生成/提供者：通过共享提供者HTTP 传输路径路由OpenAI、MiniMax 和fal 图像请求，以便自定义基本URL、受保护的私有网络路由和提供者请求默认设置能够与其余提供者HTTP 保持一致。感谢@vincentkoc。

l图像生成/提供者：停止从配置的OpenAI、MiniMax 和fal 图像基本URL 推断私有网络访问，并限制共享HTTP 错误体读取，以便敌对或配置错误的端点在不放宽SSRF 政策或不缓冲无限制错误负载的情况下失败。谢谢@vincentkoc。

l浏览器/主机检查：将静态Chrome 检查助手保留在未激活的浏览器运行时，以便openclaw doctor 浏览器和相关检查不会过早加载捆绑的浏览器插件。（#59471）感谢@vincentkoc。

l浏览器/CDP：在进行回环检查之前，规范化尾随点的本地主机绝对形式，将远程CDP WebSocket URL如ws://localhost.:... 还原为配置的远程主机。(＃59236) 感谢@mappel-nv。

l代理/输出清理：从用户可见的文本中剥离命名空间antml:thinking 块，以确保Anthropic 风格的内部独白标签不会泄露到回复中。(#59550) 感谢@obviyus。

lKimi Coding/tools: 将Anthropic工具的有效载荷标准化为Kimi Coding所期望的与OpenAI兼容的函数形状，以便工具调用不再丢失所需参数。(#59440) 感谢@obviyus。

l图像工具/路径：相对于代理的 workspaceDir 解析相对本地媒体路径，而不是 process.cwd()，这样像 inbox/receipt.png 这样的输入可以可靠地通过本地路径白名单。(#57222) 感谢Priyansh Gupta。

lPodman/launch: 从 scripts/run-openclaw-podman.sh 中移除嘈杂的容器输出，并使Podman安装指南与更安静的启动流程对齐。(#59368) 感谢 @sallyom。

l插件/运行时：即使在禁用这些插件时，也要保持LINE 回复指令和浏览器支持的清理/重置流程正常工作，同时收紧捆绑插件的激活保护。(#59412) 感谢@vincentkoc。

lACP/gateway重新连接：在瞬时websocket中断时保持ACP提示活跃，同时在重新连接恢复未完成时仍然有界限地失败。(#59473) 感谢@obviyus。

lACP/gateway 重新连接：在重新连接宽限期过期后拒绝过时的预确认ACP 提示，以便呼叫者干净地失败，而不是在网关从未确认运行时无限期挂起。

lGateway/会话终止：在会话终止请求上强制执行HTTP操作员范围，并在会话查找之前进行授权验证，以防止未经身份验证的调用者探测会话的存在。（#59128）感谢@jacobtomlinson。

lMS Teams/logging: 使用共享的未知错误助手格式化非错误失败，以便日志不再将捕获的SDK 或Axios 对象合并为[object Object]。(#59321) 感谢@BradGroux。

lChannels/setup: 在设置解析期间忽略不受信任的工作区通道插件，以便阴影工作区插件不能覆盖内置的通道设置/登录流程，除非在配置中明确被信任。(#59158) 感谢@mappel-nv。

lExec/Windows: 恢复允许列表执行的强制，跨网关和节点执行进行具备引号感知的argPattern 匹配，并在执行工具描述中展示准确的动态预审批可执行文件提示。(#56285) 感谢@kpngr。

l网关：在显式确认和自然过期后，修剪空的节点待处理工作状态条目，使每个节点的状态映射不再无限增长。（#58179）感谢@gavyngong。

lWebhooks/secret comparison: 在BlueBubbles、Feishu、Mattermost、Telegram、Twilio 和Zalo webhook 处理程序中用共享的safeEqualSecret 辅助函数替换临时的安全秘密比较，并在BlueBubbles 中拒绝空的身份验证令牌。(#58432) 感谢@eleqtrizit。

lOpenShell/mirror: 将remoteWorkspaceDir 和remoteAgentWorkspaceDir 限制在受管理的/sandbox 和/agent 根目录，并保持镜像同步，以防在配置同步期间覆盖或删除用户添加的shell 根目录。(#58515) 感谢@eleqtrizit。

l插件/激活：在CLI、网关引导和状态界面间保留显式、自动启用和默认激活的来源以及理由元数据，从而确保在自动启用解析后插件启用状态保持准确。(#59641) 感谢@vincentkoc。

lExec/env: 阻止额外的主机环境重写包根、语言运行时、编译器包含路径以及凭证/配置位置的切换，因此请求范围内的exec无法重定向受信任的工具链或配置查找。（#59233）感谢@drobison00。

lDotenv/workspace 覆盖：阻止workspace .env 文件覆盖OPENCLAW_PINNED_PYTHON 和OPENCLAW_PINNED_WRITE_PYTHON，以便由于repo-local 环境注入而不能重定向信任的助手解释器。(#58473) 感谢@eleqtrizit。

l插件/安装：在安装/验证过程中接受 openclaw.plugin.json 和 bundle plugin.json 清单中的JSON5 语法，因此带有尾随逗号、注释或未引用键的第三方插件不再安装失败。(#59084) 感谢 @singleGanghood。

lTelegram/exec 批准：在Telegram 按钮渲染之前，将共享的/approve … allow-always 回调有效负荷重写为/approve … always，以便插件批准ID 仍然符合Telegram 的callback_data 限制，并保持允许始终可见。(#59217) 谢谢@jameslcowan。

lCron/exec 超时：即使在详细模式关闭的情况下，也能在隔离的cron 运行中显示超时的exec 和bash 失败，包括自定义会话目标的cron 作业，从而使计划的运行不再默默失败。（#58247）感谢@skainguyen1412。

lTelegram/exec 审批：在异步审批后续中回退到原始会话密钥，并保持恢复失败状态交付的清洁，以便Telegram 后续仍能正常到达而不泄露原始exec 元数据。(#59351) 感谢@seonang。

l节点主机/执行批准：通过审批计划程序的可变脚本路径绑定pnpm dlx 调用，以便有效的运行时命令被解决为批准，而不是被留作未绑定。(#58374)

lExec/node 主机：在未明确请求工作目录时，停止将网关工作区的当前工作目录转发到远程节点执行，因此跨平台节点批准将回退到节点默认的当前工作目录，而不是因为SYSTEM_RUN_DENIED 失败。(#58977) 感谢@Starhappysh。

l执行审批/渠道：将启动-表面审批的可用性与本地交付能力解耦，因此当存在审批人且本地目标路由被单独配置时，Telegram、Slack和Discord仍然会显示审批。(#59776) 感谢@joelnishanth