OpenClaw 24h 更新快报(2026-04-12):WhatsApp路由、DNS安全、Teams上传、Dreaming记忆
本期更新以渠道稳定性修复和新开发者工具为主。WhatsApp reaction 路径已修正为网关进程内执行,不再出现"无活跃监听器"报错;微软 Teams CLI 媒体上传链路修复了网关与 CLI 进程间的文件凭证共享问题;SSRF guard 的 DNS 固定逻辑在 FormData 场景下会导致多语言服务商音频转录全面失败。此外,Dreaming 日记新增记忆 Wiki 可观测视图,OpenAI Codex 授权 URL 不再强制附加导致新账号注册失败的 scope。
WhatsApp 通知:reaction 路径修正
PR #64638 修复了 WhatsApp message react 在特定部署形态下静默失败的问题。WhatsApp 的 send 和 poll 早已迁移到网关进程内执行,但 reaction 仍走本地通用 Action 运行器——该运行器所在进程未必持有活跃的 WhatsApp Web 监听器,导致 reaction 调用 requireActiveWebListener() 时报错。
修复后,WhatsApp reaction 改为经网关 RPC(message.action)分发,由网关进程统一执行,与 send/poll 行为一致。变更仅影响执行路径,reaction 语义、群组/DM 参数处理及 sendReactionWhatsApp() 实现本身未改。
安全修复:SSRF DNS 固定导致音频转录全面失败
PR #64766 修复了一个影响所有 OpenAI 兼容提供商的音频转录静默失败问题。根本原因是 postTranscriptionRequest 未显式传递 pinDns 选项,导致 fetchWithSsrFGuard 错误地启用 undici pinned DNS dispatcher——undici 的 multipart 编码会破坏 FormData 请求体,使 OpenAI、Groq、Mistral 等返回"must provide a model parameter"假象。
修复后 postTranscriptionRequest 强制传递 pinDns: false,并同步在 fetchWithSsrFGuard 的 pinDns === false 路径补上了主机名验证,堵住了一处已存在的 SSRF 绕过漏洞。音频转录现已恢复正常。
Teams 通知:CLI 媒体上传链路修复
PR #64646 修复了 openclaw message send --media <file> 在 Teams 私信场景下用户点击"允许"后文件上传静默失败的问题。用户会看到"This card action is not supported",实际是网关监控进程以进程内内存 Map 查询待上传凭证,而 CLI 进程退出后凭证已丢失。
修复引入文件系统持久化待上传存储(pending-uploads-fs.ts),CLI 和网关进程通过同一文件路径共享凭证,上传完成后清理。同一进程内的 reply 路径保持内存快速通道不变,777 个 Teams 测试全部通过。
开发者工具:代理抓包基础设施与 QA Lab 检查器
PR #64895 是本期最大的新功能 PR,引入了完整的代理抓包技术栈和 QA Lab 检查器后端与 UI。该 PR 包含四个 commit:99c33cac(抓包核心与 CLI)、1bc11e3b(扩大传输抓包覆盖)、41daa689(QA Lab 抓包后端)和 c5e001e1(QA Lab 抓包 UI)。
新工具包含:抓包核心(CLI、存储、CA 证书面)、扩大覆盖范围的传输抓包(覆盖更多 provider 和 channel 的请求路径),以及 QA Lab 检查器后端 API 和 UI 时间轴工作流。同 PR 扩展了 Telegram、Discord、Microsoft Speech、OpenAI WebSocket 等渠道的覆盖验证。
控制台:Dreaming 日记新增记忆 Wiki 可观测视图
PR #64505 为 Dreaming 日记引入了首批记忆 Wiki 可用性表面,包含两个新子标签页:"Imported Insights"(以主题聚类展示导入的 ChatGPT 对话,含综合摘要和来源点击路径)和"Memory Palace"(展示实际包含声明、问题、矛盾或真实综合内容的 Wiki 页面)。
同时移除了失效的侧边栏路径,改为 Dreaming 内全页 Wiki 查看器,导入来源和记忆宫殿页面可直接在 Dreaming 内检视。当前 Memory Palace 在生产数据集上仍为空,待后续 PR 实现从导入对话到综合/实体/概念页面的自动升级。
其他重要修复
PR #64713 停止向 OpenAI Codex 授权 URL 强制追加 model.request 和 api.responses.write scope,修复了新账号授权时报 invalid_scope 的问题。PR #64964 补全了 MiniMax portal OAuth configPatch 中缺失的 api 和 authHeader 字段,openclaw configure 重新认证后提供商推理不再失败。PR #64560 将心跳间隔运行分散到稳定阶段,避免集中触发带来的负载毛刺。PR #64869 修复了 Telegram 主题会话在入站消息不带 MessageThreadId 时会话文件路径在两个转录文件间跳动的问题。
此外,本期还包含 Ollama /api/show 元数据缓存(PR #64753)、Google Veo 请求移除 numberOfVideos 冗余字段(PR #64723)、插件 manifest 新增 activation 和 setup 描述符(PR #64780)以及心跳任务解析不再泄漏顶级 interval/prompt(PR #64488)等多项小型修复。
本次更新以渠道可靠性修复和开发者工具完善为主旋律,OpenClaw 正在持续打磨各渠道集成的稳定性与媒体处理健壮性。
评论