模型 Provider 更新
GPT-5.4-pro 前向兼容
为即将发布的 GPT-5.4-pro 添加前向兼容:
- Codex 定价支持:GPT-5.4-pro 走 Codex 定价路径
- 可见性支持:模型管理界面正确显示 GPT-5.4-pro
- 无缝切换:现有 Agent 配置无需改动即可使用
OpenAI 兼容验证优化
- 验证 Probe 的
max_tokens降低到 16 - 适配更严格的 OpenAI 兼容端点
- 减少不必要的 Token 消耗
Telegram 论坛话题支持
Telegram Forum Topics 现在在 Agent 上下文中显示人类可读名称:
- 之前:显示话题 ID(难以理解)
- 现在:显示话题名称("运维支持"、"产品讨论"等)
- 插件 metadata 同步更新
这对大型 Telegram 社区管理极其有用。
性能优化
插件目录缓存
- 在 auto-enable passes 内缓存插件目录查询
- 防止 CPU 持续高占用
- 启动性能显著提升
上下文引擎后台化
- Context Engine 维护工作转移到 idle-aware 后台
- 不再影响主对话响应延迟
会话引擎统一
- Session Context Engine 解析在各服务入口点统一
- 减少不一致和 bug
安全加固
v2026.4.14 包含多项安全强化:
通道策略
- 全局
allowFromowner 白名单现在也应用于频道 block-action 和 modal 交互事件(#66028) - 闭合了之前的授权绕过缺口
网关工具限制
- 危险标志修改现在被网关限制
- 防止恶意插件修改敏感配置
SSRF 策略扩展
- Snapshot、Screenshot、Tab 路由统一应用 SSRF 策略
- 之前这些路径有绕过可能,现已修复
路径规范化
- Attachment 路径统一 canonicalization
- 防止通过路径构造绕过白名单
Microsoft Teams SSO
- 发送者白名单强制应用到 Teams SSO 登录
- 防止未授权用户触发 SSO 流程
关键 Bug 修复
Provider 问题
- Ollama 超时继承:嵌入运行的超时现在正确继承
- Codex 配置输出:包含必需的
apiKey字段 - Ollama 视觉模型:图像/PDF 工具正确归一化
- AAC 文件名:转写端点自动重映射为
.m4a
基础设施
- Telegram 代理:媒体下载现在尊重配置的代理设置
- 本地 Chrome CDP:就绪检查绕过 SSRF 策略
- WhatsApp:Baileys 媒体加密 write-flush 同步修复
- Cron 调度器:错误退避下限正确保留
UI/UX
- Markdown 渲染:
marked.js替换为markdown-it,防止 ReDoS 攻击 - 低上下文提示:自托管模型的提示更清晰
- Discord /status:原生命令响应正确处理
60+ 改进
本次更新涉及 Agent 系统、集成、安全性和稳定性方面的 60+ 独立改进。
升级
npm install -g openclaw@latest
安全提示
由于包含 ReDoS 修复和多项授权修复,建议所有用户尽快升级。
v2026.4.14 是目前推荐的稳定版本。