OpenClaw v2026.5.12-beta.7 发布摘要

关键变更

核心基础设施与安全

• 安全加固: 实施了更严格的 Windows 沙箱绑定验证，以阻止携带凭据的根目录（例如 .ssh、.codex），即使在 HOME 被重定向的情况下也是如此。此外，沙箱浏览器 CDP relay 现在需要应用层凭据，取代了之前对网络源过滤的依赖。
• 设备配对与身份验证: 通过要求对设置代码设备配对和浏览器源 Control UI 会话进行显式批准，增强了配对过程。受信任代理身份验证现在会拒绝来自主机本地非回环接口的对等端，以防止通过网关主机自身的地址进行未经授权的访问。
• 配置管理: 集中化配置文件的变更，以防止并发写入期间的数据丢失。新的预更新快照机制现在可以保护 openclaw.json 不在版本升级期间被抹除，特别修复了 doctor --fix 会在迁移前剥离未知键的问题。
• 构建系统: 将工作区升级到 pnpm 11，使 Docker、安装和更新工作流与新的包管理器界面保持一致。

Agent 与运行时增强

• Codex Harness: 通过将原生子 Agent 生命周期事件镜像到 Task Registry 中，改进了 Codex app-server，并轮换不兼容的 context-engine 线程，以防止陈旧的历史记录导致 context-window 溢出。Codex cron turns 现在直接执行自动化负载，跳过不必要的 workspace bootstrap 读取，以避免超时。
• ACP (Agent Client Protocol): 为 UNAVAILABLE 错误添加了后端提供商故障转移，允许 ACP turns 尝试配置的备份后端。ACP bridge 现在在 _meta 字段中公开了会话线性关系元数据（例如 parentSessionId、spawnDepth），以便进行更好的客户端侧会话图谱分析。
• 工具与执行: 通过 toolsBySender 引入了按发送者划分的工具能力层级，允许操作员在模式（schema）级别为特定用户限制危险工具（如 exec）。系统现在还通过添加宽容的 items: {} 来规范化数组工具模式，以防止 OpenAI-compatible providers 拒绝工具提交。

通道与集成更新

• Telegram: 通过将入口（ingress）移至带有持久化本地暂存区的隔离 worker，显著提高了轮询（polling）的弹性，确保在主事件循环停滞时消息不会丢失。增加了对本地化命令菜单描述的支持，并修复了一个关键 bug，即 bot token 轮换导致轮询器因陈旧的 offset 而静默地丢弃新消息。
• Slack: 为线程回复添加了 replyBroadcast 支持，并改进了对私有文件重定向标头的处理，以防止媒体下载失败。
• iMessage: 修复了一个媒体仅发送包含可见 <media:image> 占位符文本的 bug，并改进了对粘贴链接的处理，通过忽略 Apple 的内部预览 blob。
• WhatsApp: 将 WhatsApp 通道外部化为 ClawHub/npm 插件，以减少核心运行时依赖并更新了底层的 Baileys 库。

UI 与诊断

• Control UI: 为 WebChat 添加了持久化的自动滚动模式选择器，并在会话选择器中将嵌套的子 Agent 会话在视觉上嵌套在其父级会话下。新增的 /context map 命令提供了一个 WinDirStat 风格的会话上下文贡献者树状图图像。
• Diagnostics: 引入了 startupGraceMs 窗口，以在冷启动期间抑制虚假的存活状态警告，同时仍为基准分析进行采样指标。

影响

本次发布主要影响运行高并发 Agent 的操作员，或使用 Codex 和 ACP 运行时的用户。转向 Telegram 轮询的隔离 worker 模式可以防止在事件循环饱和时发生灾难性的消息丢失。对于注重安全性的部署，加固的沙箱和配对要求将使系统向设备和浏览器访问的“故障关闭（fail-closed）”安全模型迈进。

对于插件开发者，扩展后的 SDK 现在支持类型化的会话动作、主机介导的附件以及计划的会话 turns，从而能够在不需要内部 runner 访问权限的情况下实现更复杂的异步工作流。

升级指南

Breaking Changes & 迁移

• iMessage 发送者允许列表: 发送者允许列表匹配现在严格要求规范化的发送者句柄（handles）。对话范围的 ID（chat IDs/GUIDs）不再被接受作为发送者身份的证明。用户必须更新其 allowFrom 配置以使用发送者句柄。
• Trusted Proxy 配置: 在 gateway.trustedProxies 中列出网关主机自身的非回环接口地址的部署，将会发现这些请求被拒绝。请使用一个不同的代理对等端地址或回环接口受信任代理路径。
• Plugin 安装: 如果安装的依赖运行时文件包含关键代码模式，某些插件安装现在可能会被内置扫描器拦截。如有必要，请使用 --force 或受信任安装标志来覆盖这些拦截。