记忆系统增强
REM 历史回填通道
v2026.4.9 为 Dreaming 记忆系统引入了基于 Ground Truth 的 REM 回填通道:
- 新增
rem-harness --path命令支持历史数据重放 - 旧的日记条目可以重新进入 Dreams 处理流程
- 更清晰的持久化事实提取流程
- 短期记忆提升机制与 REM 协同工作
这意味着用户可以让 Agent 回顾和重新整理之前的记忆,生成更好的长期知识。
结构化 Dream Diary 视图
控制 UI 新增了 Dream Diary 结构化视图:
- 时间线导航:按时间查看 Agent 的"做梦"历史
- 回填/重置控制:手动触发 REM 回填或重置日记
- 可追溯的 Dreaming 摘要:每次记忆整理都有详细记录
- Scene lane:基于 Ground Truth 的场景分析通道
Provider 配置增强
Provider Auth 别名
Provider manifest 现在支持 providerAuthAliases 声明,允许 Provider 变体共享:
- 环境变量
- 认证 Profile
- 配置文件中的认证信息
- API Key 注入流程
这简化了同一 Provider 不同版本的配置(例如 OpenAI 的不同 API 端点共用一套认证)。
iOS 版本管理
apps/ios/version.json 引入显式 CalVer 版本管理:
- TestFlight 迭代版本保持稳定
- 网关版本与 iOS 应用解耦
- 维护者可独立控制 iOS 应用升级节奏
安全加固
SSRF 防护升级
- 交互后重检:在用户交互驱动的导航后重新运行阻止目标的安全检查
- 防止浏览器交互绕过隔离区
环境变量隔离
- 阻止来自不可信工作区文件的 runtime 控制和浏览器控制环境变量
- 防止通过环境变量污染 Agent 行为
远程节点输出清理
- 远程节点摘要被标记为不可信
- 在入队前对输出进行消毒
- 防止恶意数据注入 Agent 会话
插件认证碰撞防护
- 阻止不可信工作区插件与捆绑 Provider 的 auth-choice ID 冲突
- 防止插件劫持核心 Provider 认证
依赖安全
- 强制
basic-ftp升级到 5.2.1,修复 CRLF 命令注入漏洞
Provider 更新
OpenAI
- 在 Responses API、WebSocket 和兼容 completions 中,缺失的 reasoning effort 默认设为
high - 提升默认推理质量
Ollama
- 支持原生
api: "ollama"路径 - 配置
/think后可选输出思考过程
其他修复
- Android 配对:新 QR 扫描时清除过期的配对码认证
- Matrix 网关:等待同步就绪后才标记启动成功
- Slack 媒体:同源重定向时保留 bearer 认证
- Control UI:快速切换时防止过期会话历史重载
- 内部控制 token:不再泄露到用户可见的聊天界面
升级
npm install -g openclaw@latest
建议所有用户尽快升级以获得安全修复。