OpenClaw 24h 更新快报(2026-04-17):Agent Auth、插件注册、Twitch 集成
过去 24 小时,OpenClaw 仓库合并了大量维护者级修复,涵盖安全关键路径(OAuth 跨 Agent 刷新序列化)、插件生命周期治理,以及 Twitch 渠道的首次捆绑安装支持。整体基调偏向基础设施加固与多渠道稳定性提升。
Agent 与认证体系
PR #67876 修复了一个长期存在却未被正式追踪的认证缺陷:当多个 Agent 实例并发请求 OAuth token 刷新时,竞争条件可能导致部分请求拿到过期 token,进而导致会话中断或工具调用失败。此次通过序列化刷新操作,确保刷新锁释放前所有并发请求排队等候,统一使用新 token。影响所有使用 OAuth 认证的 Agent 运行时场景。
PR #68000 修正了工作区 Bootstrap 提示词(prompt)的路由逻辑。此前部分 Agent 在新工作区初始化时会收到错误的上下文片段,可能导致工具注册顺序错乱或初始化对话被截断。该修复明确了 prompt 分发层级,确保每个 Agent 子进程拿到正确的初始化数据。
PR #68195 强化了捆绑工具(bundled tools)的策略过滤:Agent 调用捆绑工具时,需经过最终 Policy 层验证,而非仅在注册阶段检查。这一改动堵住了一个潜在的安全边界漏洞——即已注册工具可在 Policy 配置变更后绕过检查直接调用。
插件系统治理
PR #67941 要求所有插件必须在注册阶段完成同步初始化,移除原有的异步注册路径。此前插件可在部分初始化状态时就被加入可用列表,导致工具调用时出现"插件未就绪"错误。新规强制插件完成全部注册流程后才对外可见,从根本上消除了注册竞态这一错误类别。
PR #67940 实现了插件发现缓存的跨工作区复用:同一机器上多个 OpenClaw 工作区现在共享同一个插件发现缓存,避免了重复的文件系统扫描和版本解析开销,对插件数量较多的用户有显著提速效果。
渠道集成更新
PR #68008 为 Twitch 频道集成了捆绑式安装入口(bundled setup entry),这是 Twitch 渠道自支持以来首次提供开箱即用的引导流程。用户无需手动配置 Webhook 或 OAuth 应用信息,系统自动完成 Twitch 事件订阅的注册与验证,大幅降低了 Twitch 集成门槛。
PR #67822 清理了 Telegram 频道在启动时残留的过期线程绑定记录。此前 OpenClaw 重启后,Telegram 线程会错误地关联到已失效的 ACP 会话,导致消息投递到僵尸会话而无人处理。修复后在每次启动时主动清除这些悬空绑定,恢复正常消息路由。
PR #68201 修复了飞书(Feishu)卡牌动作(card-action)的聊天类型解析问题:当飞书消息类型为"群组"但卡片操作需定向到私聊会话时,系统之前未能正确识别目标,消息被错误投递。修复后在派发前先解析卡片的 chat_type 字段,确保路由到正确会话。
PR #67895 为 WhatsApp 渠道的安装引导流程增加了配置值校验,防止用户在未填写必填项的情况下触发安装导致状态不一致。
安全与稳定性修复
PR #68199 强制 macOS 端在接收远程命令前验证 SSH 主机密钥的信任链:未经预先信任确认的 SSH 会话将直接拒绝连接,避免中间人攻击风险。这是 macOS 客户端在不受控网络环境下运行时的关键防护。
PR #68198 修复了 exec-approvals 模块中显示脱敏(sanitizer)对控制字符的处理漏洞:部分终端控制序列(如 ANSI escape codes)未被正确过滤,可能在审批界面上触发意外的终端行为。修复后所有控制字符统一被转义或移除。
PR #67947 防止 Codex 扩展的 app-server 子进程异常终止时导致整个 Gateway 进程崩溃。此前子进程非正常退出(OOM Kill、信号中断)会触发未捕获异常传递至 Gateway 层级,现在子进程退出信号被正确捕获并降级处理。
PR #68039" rel="noopener noreferrer">PR #68039 修复了设备 Token 复用时的 scope 丢失问题:当同一设备重新认证时,之前已授权的 hello-ok scope(如特定 API 权限)会被覆盖而非合并,导致部分功能降级。现已改为合并逻辑,保留历史授权范围。
PR #68238 将 Gateway 返回 INTERNAL 500 错误的响应统一归类为可重试超时,减少在遇到内部错误时的即时失败率,提升端到端请求成功率。
开发者体验
PR #67893 在重新生成 models.json 配置文件时保留现有 baseUrls 条目,避免第三方模型接入点配置被意外覆盖。对于使用私有部署模型端点的用户尤为重要。
PR #68150 修复了设置页面滚动重置和详情页眉对齐问题,改善了 Web UI 在移动端和长列表场景下的可用性。
PR #67954 为 macOS 平台添加了屏幕快照功能,用于监控预览界面,用户现在可以在 macOS 端直接截取当前屏幕内容作为监控数据源。
本批次更新以安全加固和渠道稳定性修复为主旋律,核心平台(认证、插件、Gateway)的可靠性改进尤为集中,建议所有自托管用户尽快更新。
评论