过去3天内，OpenClaw连续推送了三批更新，横跨破坏性变更、功能重构和大规模安全加固。

以下是与普通用户关系最大的一批更新。

装插件，可能会被直接拦截

最容易被忽略、但影响最大的变化来自插件安装流程。

此前，即使某个插件带有危险代码，安装也能正常通过。

现在不行了——内置的危险代码扫描一旦发现严重问题，安装直接失败，除非你在命令里显式加上 --dangerously-force-unsafe-install。

这个改动意味着，那些依赖了某些有风险依赖项的插件或技能，升级后可能突然装不上了。

尤其是通过网关拉取技能依赖的场景，原来能跑通，现在得手动决定要不要强制安装。

背景不是没有道理：Cisco的AI安全研究团队曾测试第三方OpenClaw技能，发现其存在数据外泄和提示注入行为，而技能仓库此前缺乏足够的审查机制。

这次收紧，算是迟到但必要的补救。xAI和Firecrawl的配置路径彻底换了

用了xAI搜索或Firecrawl网页抓取的用户，这次必须迁移配置，否则服务直接失效。

• xAI搜索：原来写在 tools.web.x_search.*下的配置，全部迁移到 plugins.entries.xai.config.xSearch.*
• Firecrawl：原来的 tools.web.fetch.firecrawl.* 路径作废，换成 plugins.entries.firecrawl.config.webFetch.*

好消息是，运行 openclaw doctor --fix 可以自动完成迁移，不需要手动改配置文件。

但如果你有脚本或者自动化流程直接引用旧路径，记得同步修改。

后台任务终于有了真正的控制面板

OpenClaw的后台任务系统这次被彻底重构。

原本ACP任务、定时任务、子智能体任务各走各的路，现在统一接入一个SQLite支撑的「任务流」账本。用人话说：

在聊天窗口里输入 /tasks，可以实时查看当前会话的所有后台任务状态

任务被阻塞时，父级会话现在会显示具体原因，而不是让你猜

任务被取消时，子任务会等活跃工作完成后才真正停下来，而不是直接中断

对于跑复杂自动化工作流的用户，这意味着调试和恢复出错任务变得可操作，而不再是全靠玄学。

命令执行权限管控全面收紧

这是本轮更新安全加固最密集的区域，涉及几个直接影响使用体验的变化：

节点配对不再等于命令权限：原来设备完成配对就能执行节点命令，现在必须等节点配对被明确批准后，节点命令才会启用。这防止了配对流程被滥用来提权。

shell执行环境的环境变量被严格过滤：Python包索引、Docker端点、TLS证书路径、编译器路径等敏感环境变量，现在全部不允许从请求作用域传入。

这关掉了一个被安全研究者标记过的供应链攻击面——攻击者此前可以通过注入环境变量把包拉取请求重定向到恶意源。

exec默认行为对齐：tools.exec.host=auto 现在是纯路由标志，不再隐含沙箱存在时就用沙箱的逻辑。沙箱不存在时，显式指定沙箱会直接失败，而不是悄悄降级。

各平台用户能感受到的小变化

WhatsApp：智能体现在可以用emoji直接对消息做出反应，比如对一张照片回一个❤️，不用每次都打字回复。

Telegram：群组中的审批请求现在会待在原来的话题里，不再跑回根聊天。另外加了错误冷却机制，重复的传递失败不会刷屏。

Matrix：流式回复现在会在同一条消息里原地更新，不再每个数据块发一条新消息。另外加了消息历史上下文功能，让智能体可以了解触发时的对话背景。

Slack：命令执行的审批请求现在可以全程留在Slack内完成，不用跳转到网页或终端。

Android：接入了Google Assistant App Actions，可以从语音助手直接触发OpenClaw并把提示词传入聊天界面。

macOS则加入了Voice Wake，靠语音唤醒字来激活对话模式。

LINE和QQ Bot：两个平台都在本轮更新中获得了正式的捆绑插件支持，LINE还补上了图片、视频和音频的出站发送能力。

网关认证：混合配置时代结束了

对自托管的用户来说，这条要注意：网关的 trusted-proxy 模式现在拒绝同时使用共享令牌的混合配置。

本地直连回退也不再隐式放行同一主机的调用者，必须提供明确配置的令牌。原来靠「同机器就自动信任」跑起来的环境，升级后需要显式补充认证配置。

参考资料：

https://github.com/openclaw/openclaw/releases