OpenClaw 24h 更新快报(2026-05-05):Codex 安全加固、Gateway 启动韧性、插件技能发现
过去 24 小时,openclaw/openclaw 仓库迎来多个生产级修复合并。Codex 应用服务端点迎来全面安全与输入校验加固,Gateway 启动流程新增抗压排队机制,Discord 消息边界追加最终净肤保护,同时插件技能发现路径的长期失效问题正式修复。
模型与 AI 能力
PR #77459 对 Codex app-server 控制平面进行了全面加固。作为 OpenAI 后端运行的标准接入路径,Codex 的聊天控制和桥接面此前对畸形输入较为宽容。变更后:越界控制指令在绑定、权限、模型、轮次或诊断同意变更前即被拒绝;App-server 的输出文本(审批提示、用户输入请求、状态摘要)均经转义后进入聊天;Bound 对话中的本地图片路径和过期通知处理更加稳健;动态工具失败现在正确地向 Codex 报告为不成功的调用。此外,Codex 测试工具链(Docker/Testbox 诊断、认证预检、缓存挂载、稀疏检出 lint)也得到维护者层面的完善。此次加固同时移除了隐藏的全局 WeakSet 事件去重路径,Codex app-server 遥测现在完全由 Codex 驾驭发射路径持有,核心回调仅作本地簿记不再向全局总线转发事件。
PR #77554 修复了热路径模型设置中工作区元数据重用失效的问题。部分模型刷新路径在运行时已解析工作区之后调用元数据快照函数,导致原本可复用的快照被拒绝并被迫触发冷扫描。现已确保只有在当前运行/工具已持有工作区目录时,才传递 workspaceDir 参数,保留了现有的工作区安全边界。BTW 和 PDF 工具执行路径也纳入覆盖,使插件元数据快照可直接复用。影响范围:pi-embedded-runner、btw、pdf-tool。
安全与稳定性
PR #77413 修复了 Gateway WebSocket 认证中的一个高危漏洞:受信任代理的 Control UI WebSocket 会话在设备未配对或未审批的情况下,仍可保留客户端请求的操作员 scope。修复后:未审批的受信任代理 Control UI scope 在设备令牌发放和会话缓存前被限幅;受信任代理认证策略变动现在会使现有网关认证会话失效;非配对设备不再获得设备令牌。该问题属于 [AI] 自动修复,Root Cause 在于连接路径以设备对象存在性作为 scope 保留边界,而未验证设备是否真正配对或审批。
PR #77478 针对一起本地生产事故修复了两个隐患:Gateway 启动/就绪处理方面,`sessions.list` 在启动期间被限流以避免 Control UI 轮询与边车/渠道就绪竞争昂贵的会话扫描路径;原生审批网关就绪失败现在被视为可重试的延迟而非终止性启动失败;Discord READY 等待改为重连并退避而非一次超时后抛出。Discord 出站回复安全方面,追加了最终发送边界净肤,assistant 可见文本中的纯内部跟踪/注释/工具渠道文本在保留代码围栏和纯媒体内容的前提下被丢弃。
Agent 与引导流程
PR #77501 修复了 agent:bootstrap 钩子内容在引导路由中被忽略的 bug。`agent:bootstrap` 钩子可以注入 BOOTSTRAP.md 内容,但嵌入式运行器的引导路由在判断引导是否待处理时,早于钩子调整文件的解析。这导致钩子提供的必要安装指令在工作区没有待处理文件系统引导状态时可能被遗漏。修复后:钩子调整的引导文件在路由前被预加载,非空钩子提供的 BOOTSTRAP.md 被视为待处理且可访问的引导内容,构建 Project Context 时复用预加载文件。
开发者体验与工具链
PR #77328 修复了插件清单 skills 字段未发布到 Agent 技能发现路径的长期 bug(Issue #77296)。src/agents/skills/plugin-skills.ts 和 workspace.ts 共新增约 270 行测试和逻辑,使插件声明的 skills 现在可被正确发布到 Agent 技能发现路径。
本次更新基调:多个生产级安全与稳定性修复在 24h 内集中合并,Codex 接入安全从"宽泛容错"走向"严格校验",Gateway 就绪机制补强了排队和退避设计。
评论