核心更新
Gemini TTS 正式可用(GA)
v2026.4.15 引入的 Gemini 文本转语音在 v2026.4.16 转为 GA(正式可用):
- 稳定性验证完成
- 适用于生产环境
- 完整的文档和示例
- 性能优化
配置简化:
providers:
gemini-tts:
apiKey: "$GOOGLE_API_KEY"
enabled: true
启用后可直接在 Talk Mode 或消息中使用。
工具名注入防护
一项重要安全修复:
漏洞:在之前版本中,恶意客户端可能通过构造特殊的客户端定义,注入工具名称,导致:
- 调用未授权的工具
- 绕过插件白名单
- 伪造工具调用
修复:v2026.4.16 在客户端定义加载时:
- 验证工具名的格式
- 拒绝可疑的工具名注入
- 记录安全事件
建议所有用户立即升级获得此安全修复。
Claude Opus 4.7 默认
继 v2026.4.15 之后,v2026.4.16 继续:
- Anthropic 默认模型为 Claude Opus 4.7
- Claude CLI 默认模型为 Claude Opus 4.7
升级命令
npm install -g openclaw@latest
升级后建议运行:
openclaw doctor security
验证工具调用安全性。
安全建议
立即升级
特别是以下场景:
- 运行多个不可信插件的环境
- 企业部署场景
- 对外暴露 API 的场景
审计工具调用日志
升级后检查历史日志:
openclaw logs --filter "tool-call" --since "30d ago"
查看是否有可疑的工具调用。
启用 Manifest 严格模式
plugins:
strictMode: true # v2026.4.12 引入
配合 v2026.4.16 的修复,提供双重防护。
与 v2026.4.15 的关系
v2026.4.16 是 v2026.4.15 的稳定性和安全补丁:
- Gemini TTS 从 beta 转 GA
- 关键安全漏洞修复
- 无新功能,但生产级稳定性更好
如果你在生产使用 OpenClaw,建议:
- 4.15 用户:升级到 4.16 获得安全修复
- 4.14 及以下:同时获得 4.15 和 4.16 的功能
总结
v2026.4.16 是一个必装的安全补丁。工具名注入是 Agent 系统中比较隐蔽但严重的漏洞,修复后大幅提升系统安全性。
Gemini TTS 的 GA 也标志着 OpenClaw 语音能力的进一步完善。