OpenClaw v2026.5.12-beta.8 发布摘要

关键变更

安全加固与沙箱改进

OpenClaw 实施了若干关键的安全更新，以保护宿主环境并限制未经授权的访问：

• Windows 沙箱保护：沙箱现在明确禁止 USERPROFILE 根目录，以防止即使在 HOME 环境变量被重定向时，携带凭据的绑定（如 .ssh 或 .codex）仍能被访问。
• 设备配对与身份验证：
  • Setup-code bootstrap 现在需要在授予持久化节点令牌之前进行显式的配对批准，以防止静默的权限提升。
  • 浏览器源 Control UI 会话现在需要显式的配对批准，而不是静默的本地配对。
  • 增强了可信代理（Trusted-proxy）身份验证，以拒绝非回环地址的本地接口地址。
• 工具与命令门控：
  • 委托会话现在会从其调用者处继承工具禁用（tool-deny）限制，确保安全策略在子代理（subagent）和 ACP 委托路径中保持一致。
  • 网关命令作用域现在由调用者上下文强制执行，确保无论解析出的命令通道如何，特权命令都会被拒绝。
  • PowerShell -ec (encoded command) 别名现在被识别为内联负载（inline payloads），从而强制其通过更严格的内联负载批准路径。

运行时与稳定性增强

• Telegram 弹性：
  • 轮询摄入（Polling ingress）已移至隔离的 worker，以防止主事件循环饱和导致 getUpdates 调用停滞，这在之前会导致消息丢失。
  • Bot 令牌轮换现在通过指纹化的偏移状态进行检测，以防止机器人在令牌撤销后进入“失聪”状态。
• Codex Harness & ACP：
  • 上下文引擎轮换：如果现有的 sidecar 不兼容，无损管理的 Codex 会话现在会轮换到全新的原生线程，以防止因陈旧的隐藏历史记录而导致的上下文窗口溢出。
  • Cron 兼容性：Codex cron 轮次现在直接执行自动化负载，跳过昂贵的 workspace bootstrap 读取，以防止超时。
  • ACP 故障转移：增加了 acp.fallbacks 以允许 ACP 轮次在主后端不可用时尝试备份运行时后端。
• 通用稳定性：在诊断心跳中增加了一个启动宽限期（默认为 60s），以抑制冷启动期间的虚假存活警告。

新功能与能力

• Cron 检查：增加了 openclaw cron get <id> 和相应的 Gateway RPC，允许用户和代理检查单个存储的 cron job，而无需获取整个列表。
• 会话谱系：ACP 会话列表和快照现在会暴露 Gateway 谱系元数据（例如，parentSessionId、spawnDepth），从而在 ACP 客户端中渲染父子会话图谱。
• 上下文映射：引入了 /context map 命令，该命令会生成当前会话上下文贡献者的 WinDirStat 风格的树状图图像。
• 用户特定工具：增加了 tools.toolsBySender，允许操作员定义基于发送者身份的不同工具能力层级（例如，限制访客的破坏性工具使用）。

修复

• 配置数据丢失：修复了一个关键问题，即在版本升级期间使用 doctor --fix 可能会剥离用户编写的配置字段。现在会创建一个预更新的持久化快照，以防止数据丢失。
• 子代理模型优先级：修复了一个 bug，即 agents.defaults.subagents.model 被忽略，转而使用了目标代理的主模型，这在之前会导致子代理绕过 claude-cli 运行时。
• OpenAI Schema 规范化：对于省略了 items 的数组型工具 schema，现在会进行规范化处理以包含 items: {}，以防止被 OpenAI 兼容的提供商拒绝。
• Telegram 格式化：修复了一个问题，即 cron announce delivery 可能会导致 Markdown 链接双重渲染，从而在聊天中显示为字面量的 HTML 锚点。

影响

本次发布显著降低了通过设备配对和 Windows 沙箱逃逸实现的权限提升风险。对于 Codex harness 和 ACP 用户，改进的线程轮换和故障转移机制为长运行会话提供了更可靠的体验。由于隔离的轮询 worker，Telegram 用户将看到系统高负载下的可靠性提升。操作员现在可以使用新的基于发送者的工具能力，实施更细粒度的安全策略。

升级指南

重大变更与迁移

• iMessage 发送者白名单：发送者白名单匹配现在仅接受规范化的发送者句柄（sender handles）。对话范围的 ID（聊天 ID/GUIDs）不再被接受作为发送者身份的证明。用户必须更新其 allowFrom 配置以使用发送者句柄。
• Trusted-Proxy 配置：在 gateway.trustedProxies 中列出网关宿主自身的非回环接口地址的部署环境，将不再能够通过该地址验证直接请求。这些地址应被移至一个独立的代理同行地址或回环路径。
• Pnpm Upgrade：工作区已升级至 pnpm 11。执行 git source 安装的用户将发现，bootstrap 和 build 白名单现在通过 pnpm-workspace.yaml 进行管理。