OpenClaw v2026.3.23 正式发布:Qwen 接入重构、UI 安全加固与多项核心修复
OpenClaw 推出 v2026.3.23 版本,带来三项 Breaking Changes,涵盖阿里云 Qwen 模型接入方式重构、控制界面安全策略升级,以及超过 20 项 Bug 修复,其中多个长期困扰用户的认证和插件问题得到解决。
Qwen 接入方式重构:从 Coding Plan 到标准按量付费
这次更新里改动最大的一项,是对阿里云 Qwen 模型接入方式的重新设计。
此前,OpenClaw 对 Qwen 的支持主要依赖 Coding Plan 专属端点,普通按量付费用户的接入路径并不顺畅。v2026.3.23 在保留原有 Coding Plan 端点的基础上,新增了面向中国区和全球的标准 DashScope 端点,两套 API Key 体系并行支持。与此同时,提供商分组名称从原来的 ModelStudio 统一更名为 Qwen(Alibaba Cloud Model Studio),命名更清晰,也与阿里云官方品牌对齐。
对于国内用户来说,这意味着直接用标准 DashScope API Key 就能接入 Qwen 系列模型,不再需要申请 Coding Plan 资格。
控制界面安全加固:CSP 策略与 UI 重构
另一项 Breaking Change 来自安全层面。新版本对控制界面的内容安全策略(CSP)做了升级:系统现在会为 index.html 中的内联脚本块计算 SHA-256 哈希值,并将其写入 script-src CSP 指令。默认情况下内联脚本仍被阻止,只有经过显式哈希验证的引导代码才被允许执行。
这一改动对自托管用户影响较大——如果你在 index.html 中有自定义内联脚本,升级后需要重新计算哈希并更新 CSP 配置。
UI 层面同步做了一次整理:按钮组件(btn--icon、btn--ghost、btn--xs)被统一为新的基础原语,Knot 主题调整为黑红配色并通过了 WCAG 2.1 AA 对比度标准,Diagnostics、CLI、Secrets、ACP、MCP 等配置区块新增了图标,圆角滑块改为离散档位选择,多处新增了 aria-label 以改善无障碍访问体验。
插件与认证:修复了一批”老大难”问题
这个版本的修复列表相当长,几个值得关注的点:
插件运行时缺失问题:此前全局安装 OpenClaw 后,WhatsApp 的 light-runtime-api.js、Matrix 的 runtime-api.js 等插件运行时文件没有被打包进 npm 包,导致安装后直接报错。v2026.3.23 重新将这些文件纳入发布包。
OpenAI Token 反复失效:一个困扰用户已久的 bug——在 Configure、Onboard 或手动粘贴 Token 流程中,刚保存的凭证会被内存中的旧值覆盖,导致 Token 不断”回滚”到过期状态。这次修复了网关认证配置写入逻辑,确保新 Token 能正确持久化。
ClawHub 技能市场认证:macOS 用户在使用 openclaw skills 命令或通过 ClawControl 浏览技能时,系统会静默回退到未登录状态,导致出现 429 错误或技能列表为空。修复后,系统会正确读取 macOS Application Support 路径下的登录凭证,XDG 配置路径同样兼容。
ClawHub 插件版本检查:插件安装时的版本兼容性检查一直沿用一个硬编码的 1.2.0 常量,导致 >=2026.3.22 的包安装失败。现在改为在安装时动态解析当前运行时版本。
Mistral 模型 422 错误:Mistral 的默认 max-token 配置被设置为上下文窗口大小,导致 API 返回 422 拒绝。新版本降低了默认值,并在 openclaw doctor --fix 中加入了自动修复旧配置的逻辑。
其他值得关注的修复
- Browser/Chrome MCP:修复了 macOS 上 Chrome 附加流程中反复弹出授权确认的问题,现在会等待标签页真正可用后再标记为就绪
- Agents/web_search:修复了 Agent 执行时 web_search 工具忽略用户实际配置的提供商、始终使用默认值的问题
- LINE 频道:修复了启动时
TypeError: Cannot redefine property崩溃 - cron 定时任务:
--at ... --tz参数现在能正确处理夏令时边界 - MiniMax 模型故障转移:修复了将账单错误、认证错误误判为可重试错误并触发模型切换的问题