OpenClaw v2026.4.2 发布,安全加固与 Task Flow 引擎双升级
OpenClaw v2026.4.2 版本带来了自开源以来最大规模的安全加固和功能重构,涉及两个破坏性变更、二十余项新功能以及数十个漏洞修复,被社区称为”安全里程碑”版本。
插件配置路径迁移:架构更清晰的代价
此次更新最显著的变化是对 xAI 和 Firecrawl 插件的配置路径进行了标准化迁移。xAI 的 web_search 配置从旧的 `tools.web.x_search.*` 路径迁移到插件自主管理的 `plugins.entries.xai.config.xSearch.*`,Firecrawl 的 web_fetch 配置同样从核心层剥离至插件层。这一调整意味着 OpenClaw 正在从”核心包揽一切”的架构向”插件各司其职”的模式演进。
用户可以通过 `openclaw doctor –fix` 命令自动迁移旧配置。这种设计让插件拥有完整的配置自主权,核心代码无需为每个第三方服务硬编码支持逻辑,后续新增插件时也能保持一致性。
Task Flow 引擎回归:后台编排能力复苏
Task Flow 功能在经历了版本迭代中的短暂沉寂后重新回归。新版引入了 managed 和 mirrored 两种同步模式,支持持久化的流程状态和版本追踪。这意味着用户可以在后台创建复杂的多步骤编排任务,即使中途发生重启或崩溃,流程状态也能被保存和恢复。
新增的 `openclaw flows` 命令提供了检查和恢复能力,让 Task Flow 可以独立于插件层进行运维操作。同时,managed child task spawning 配合 sticky cancel intent 设计,让外部编排器能够立即停止调度,避免任务堆积。
Android Google Assistant 集成:语音唤醒 AI Agent
移动端方面,Android 平台新增了 Google Assistant 入口点支持。用户可以通过语音触发”Hey Google,打开 OpenClaw”,直接将指令传递给聊天界面。这一功能让 OpenClaw 真正融入移动端生态,语音交互从概念变成现实。
安全修复:从 SSRF 防护到传输层加固
安全方面,此次更新堪称”大扫除”。核心 HTTP 传输层集中处理请求认证、代理、TLS 和 header 塑形,阻止不安全的 TLS 和运行时传输覆盖。针对 OpenAI、Anthropic、Copilot 等多家 Provider 的路由逻辑进行了端点分类统一,确保伪造或代理的主机不会继承原生默认配置。
执行审批配置文件在规范化时会剥离无效的 security、ask 和 askFallback 值,防止畸形策略枚举破坏运行时策略解析。图像生成请求也统一走 Provider HTTP 传输路径,自定义 base URL 不再被推断为私有网络访问。
多渠道修复:从 WhatsApp 到 Feishu
渠道层面,WhatsApp 发送 unavailable presence 解决了个人手机用户在 Gateway 运行时丢失推送通知的问题。Matrix 插件现在能正确发送 m.mentions 元数据,让 Element 等客户端中的提及通知可靠触发。Feishu 文档评论线程交付进行了加固,整文档评论回退到 add_comment,延迟回复查找重试更可靠。
Slack 的 mrkdwn 格式化添加了内置指南,回复不再降级到通用 Markdown 模式。MS Teams 流式传输修复了超过 4000 字符时的重复内容问题。Zalo 的 webhook 重放去重键现在按 chat 和 sender 划分,避免跨聊天复用消息 ID 导致的冲突。
开发者视角:从修复中看演进方向
从 changelog 的密度来看,这次更新暴露了 OpenClaw 在多 Provider 适配、多渠道支持上的复杂性。每个 Provider 都有自己的认证方式、端点规则、流式处理逻辑;每个渠道都有自己的消息格式、线程模型、媒体处理需求。v2026.4.2 通过集中化处理、统一边界、插件化封装的方式,正在把这些复杂性收束到可控范围内。
OpenClaw 正从”能跑”走向”能跑得稳”,从”功能堆叠”走向”架构清晰”。