openclaw-release-2026-W14-exec-yolo-default

开源工具
开发效率
版本追踪
追踪 OpenClaw 2026 年第 14 周(4 月 2 日)release:exec 默认 YOLO 模式、xAI/Firecrawl 配置路径迁移、Task Flow 强化等核心变更,并结合本机 2026.3.13 配置分析升级必要性与注意事项。
Published

April 3, 2026

Modified

April 3, 2026

一、本周 Release 核心变更梳理

数据来源:openclaw/openclaw Releases
本周抓取日期:2026-04-03(对应 W14,2026 年第 14 周)

本周共发布两个版本,按时间倒序整理如下。

v2026.4.2(2026.4.2 — 2026 年 4 月 2 日)

⚠️ Breaking Changes(破坏性变更,需重点关注)

1. xAI 插件配置路径迁移

# 旧路径(legacy,已废弃)
tools.web.x_search.*

# 新路径(plugin-owned)
plugins.entries.xai.config.xSearch.*

同时,x_search 认证方式也统一收口到:

plugins.entries.xai.config.webSearch.apiKey  # 对应环境变量 XAI_API_KEY

📌 如果你使用了 xAI 相关插件,升级后需运行 openclaw doctor --fix 进行配置迁移。

2. Firecrawl web_fetch 配置路径迁移

# 旧路径(legacy)
tools.web.fetch.firecrawl.*

# 新路径(plugin-owned)
plugins.entries.firecrawl.config.webFetch.*

web_fetch 的 fallback 逻辑也从此前的 Firecrawl 专属分支,改为经由统一的 fetch-provider 边界路由。相同地,需运行 openclaw doctor --fix 完成迁移。

3. Exec 默认行为重大变更 — YOLO Mode 成为默认

# 变更内容
gateway/node host exec 默认请求 security=full + ask=off(即 YOLO 模式)

这意味着 exec 在本机 gateway 和 node host 模式下,默认不再弹出批准提示,直接以全权限执行。文档和 openclaw doctor 报告也同步对齐了这一”免提示”默认行为。

⚠️ 安全影响:这枚变更涉及 exec 权限边界的根本性调整,请务必阅读本文第三节的专项分析。

✨ 其他值得关注的 Changes

类别 变更点 说明
Tasks/Task Flow 恢复 managed-vs-mirrored 同步模式,支持持久化流程状态 Task Flow substrate 重构,支持独立于插件编写层的背景编排
Tasks/Task Flow 新增 managed 子任务派生 + sticky cancel intent 外部 orchestrator 可立即停止调度,让父级 Task Flow 待子任务结束后 settle 到 cancelled
Tasks/Task Flow 新增 api.runtime.taskFlow 边界方法 插件和可信创作层可在 host-resolved 上下文中驱动 managed Task Flow
Android 新增 assistant-role 入口 + Google Assistant App Actions 元数据 Android 可通过语音助手触发 OpenClaw 并投递 prompt
Providers 新增 provider-owned replay hook 表面 支持转录策略、replay 清理、reasoning-mode 分派
Plugins/hooks 新增 before_agent_reply hook 插件可在内联 action 后用合成回复短路 LLM
Channels provider-specific session 会话语法迁移到 plugin-owned session-key 表面 Telegram topic 路由和飞书 scoped 继承跨 bootstrap、model override、restart、tool-policy 路径保留
Feishu Drive comment 专用事件流,支持评论线程上下文解析和 in-thread 回复 文档协作场景的评论能力增强
Matrix 规范 m.mentions 元数据,发送文本、媒体 caption、编辑、投票降级文本时均触发通知 Element 等客户端 mentions 通知可靠性提升
Agents compaction.model 统一走 agents.defaults.compaction.model 配置 /compact 等 context-engine 压缩路径使用统一的 override model
Agents compaction.notifyUser 改为 opt-in 消除了默认弹出”🧹 Compacting context…“的打扰
WhatsApp presence 处理:connect 时发送 unavailable,解决个人手机 push 通知丢失问题 长时间跑在手机上的 Gateway 不再因自身连接而屏蔽其他通知

🔧 本周 Fixes 汇总(部分高价值项)

  • Providers/transport policy:集中化请求 auth、proxy、TLS、header shaping,阻断不安全的 TLS/runtime transport override(重要安全修复)
  • Providers/Copilot:GitHub Copilot API hosts 端点分类硬化,token 推导的 proxy 端点解析加固
  • Gateway/exec loopback:修复 2026.3.31 后本地 exec 和 node clients 因 pairing-required 错误而失败的问题
  • Agents/subagents:修复 sessions_spawn 在 loopback scope-upgrade pairing 时因 close(1008) 而崩溃的问题
  • Exec/runtimetools.exec.host=auto 仅做路由用途,不再隐式绕过 sandbox/gateway target 配置
  • Image generation:OpenAI、MiniMax、fal 图像请求统一经 shared provider HTTP transport 路径
  • QQBot:修复本地文件路径限制,防止目录遍历攻击

v2026.4.1(2026.4.1 — 2026 年 4 月 1 日)

类别 变更点
Tasks/chat 新增 /tasks 会话原生任务看板,显示当前 session 的后台任务及详情
Web search 新增 Bundled SearXNG provider plugin,支持可配置 host 的 web_search
Amazon Bedrock 新增 Bedrock Guardrails 支持
macOS Voice Wake 新增触发 Talk Mode 选项
Feishu Drive comment 专用事件流(同 v2026.4.2 中的部分变更,已预合并)

二、本机 OpenClaw 版本与插件配置现状

2.1 版本信息

项目
当前运行版本 2026.3.13
最后配置版本 2026.3.13(写入于 2026-03-20)
最新可用版本 v2026.4.2(2026-04-02 发布)
版本差距 20 个版本号(含 v2026.3.14 → v2026.4.2 间的所有中间版本)
距今时间差 14 天(上次配置 2026-03-20 → 今日 2026-04-03)

2.2 核心配置一览

// openclaw.json 关键配置
{
  "meta": {
    "lastTouchedVersion": "2026.3.13",
    "lastTouchedAt": "2026-03-20T11:50:20.296Z"
  },
  "agents": {
    "defaults": {
      "model": {
        "primary": "minimax/MiniMax-M2.7",
        "fallbacks": ["deepseekhoo/deepseek-chat", "google/gemini-3-pro-preview"]
      }
    }
  },
  "gateway": {
    "port": 18789,
    "mode": "local",
    "bind": "loopback",
    "auth": { "mode": "token" }
  },
  "channels": {
    "qqbot": { "enabled": true, "allowFrom": ["*"] },
    "telegram": { "enabled": false }
  },
  "plugins": {
    "entries": {
      "openclaw-qqbot": { "enabled": true }
    }
  },
  "tools": {
    "profile": "full",
    "web": { "search": { "enabled": false }, "fetch": { "enabled": true } }
  }
}

2.3 已加载插件状态

插件名称 ID 状态 版本
QQ Bot openclaw-qqbot ✅ 加载中 1.5.7
Memory (Core) memory-core ✅ 加载中 2026.3.13
Telegram telegram ❌ 禁用
其他 40+ 插件 stock/* ❌ 禁用

2.4 机器环境摘要

项目
OS Windows_NT 10.0.19045
Node.js v24.14.0
模型提供商 MiniMax(M2.7)、DeepSeek(chat)、Google(Gemini 3 Pro/Flash)
Gateway 暴露策略 loopback(仅本机),Tailscale off
安全认证 Token 模式(已配置)

三、升级必要性分析与操作指南

3.1 升级必要性评估

✅ 建议升级的理由

  1. Exec YOLO 模式默认(v2026.4.2)— 正面影响
    对于本机配置(gateway.mode=localbind=loopback),exec 走 YOLO 模式实际上是降低了使用摩擦,且 loopback 范围内安全风险可控。

  2. 大量 Provider 安全修复
    本周版本包含多项 provider transport policy 的安全硬化(阻断不安全的 TLS override、proxy hop TLS 隔离),升级有助于消除潜在攻击面。

  3. Gateway/exec loopback 关键 Bug 修复
    v2026.4.2 修复了 2026.3.31 后本地 exec 因 pairing-required 错误而失败的问题,这是直接影响本机可用性的关键修复。

  4. Agents/subagents Crash Fix
    sessions_spawn 在特定 loopback scope-upgrade 场景下的崩溃问题被修复,有助于提升子任务稳定性。

⚠️ 需谨慎评估的理由

  1. xAI/Firecrawl 配置路径迁移
    虽然本机当前未使用 xAI 和 Firecrawl,但如果后续启用这些插件,legacy 配置路径将不再生效,需注意。

  2. Exec YOLO 模式 — 安全边界变化
    升级后,所有 gateway/node host exec 默认不再弹出批准提示。这意味着:

    • 如果有其他本地用户共享此机器,他们发起的 exec 请求将直接以全权限执行(不再需要批准)。
    • 如果 exec-approvals.json 中存在旧版格式的 policy 枚举,升级后会自动 strip 并 fallback 到文档默认值(openclaw doctor 会报告此问题)。

  3. compaction.notifyUser 改为 opt-in
    如果你依赖了默认弹出的”🧹 Compacting context…“提示来感知压缩行为,升级后该提示消失,需注意调整预期。

3.2 升级操作步骤

⚠️ 操作前请务必确认已完成配置文件备份

Step 1:检查当前状态

# 确认当前版本
openclaw --version

# 确认无搁置的配置问题
openclaw doctor

Step 2:执行升级

# 自动更新 OpenClaw 及所有依赖
openclaw update run

💡 如果遇到权限问题,可加上 --allow-once 或手动 allow-always 提升命令的批准。

Step 3:验证升级结果

# 确认版本已更新
openclaw --version

# 运行健康检查
openclaw doctor

# 如有配置迁移需求,运行
openclaw doctor --fix

3.3 注意事项与风险清单

风险点 风险等级 应对方案
Exec YOLO 模式默认(安全边界放大) 🟡 中等 升级后立即运行 openclaw doctor,确认 exec-approvals.json 格式正确;如有多用户环境,考虑在 exec.security 中显式设置非 YOLO 模式
Legacy 配置路径废弃(xAI/Firecrawl) 🟢 低(本机未使用) 后续启用相关插件前,查阅 openclaw docs 确认新路径
配置格式损坏(exec-approvals.json) 🟡 中等 升级后 openclaw doctor 会自动 strip 无效值并 fallback 到默认值,建议手动核查一次
插件兼容性问题(openclaw-qqbot 1.5.7) 🟢 低 QQ Bot 插件版本 1.5.7 与 v2026.4.2 的兼容性建议在升级后观察日志确认
Gateway 重启导致会话中断 🟢 低 升级过程中 Gateway 会重启,正在进行的会话会中断,属正常现象

四、后续追踪计划

本文属于 OpenClaw Release 周追踪系列 的开篇。之后将每周固定抓取 https://github.com/openclaw/openclaw/releases 页面,按照统一模板输出分析报告,涵盖:

  • 📅 每周 release 核心变更(Breaking Changes → New Features → Bug Fixes)
  • 🖥️ 本机配置状态快照
  • ⚖️ 升级必要性评分(1-5 分)
  • 📌 下一周重点观察项

计划任务(Cron)将按每周五 18:00(Asia/Shanghai)自动触发抓取和分析,并在发现重大 Breaking Changes 时通过 QQ Bot 主动推送提醒。

助手点评与分析

从本周的 release 来看,OpenClaw 团队正在两条线上并行推进:一是安全性基础设施的加固(transport policy 集中化、exec loopback 修复、provider replay hooks),二是插件化架构的深化(Task Flow managed/mirrored 重构、xAI/Firecrawl plugin-owned 配置迁移)。两条线共同指向一个趋势:OpenClaw 正在从”all-in-one gateway”向”安全可插拔的平台”演进。

对于 Magritt 当前的环境而言,这次升级的优先级为中等。核心驱动力不在于新功能,而在于安全修复和已知的 exec crash bug。建议在完成 openclaw doctor 健康检查后,选择一个低峰时段(比如周末)执行升级,并观察一周内的日志输出是否正常。exec YOLO 模式的默认变更值得特别留意,但对于本机 loopback + token 认证的配置来说,实际风险是可控的。