openclaw-release-2026-W20-deps-externalization
OpenClaw 周追踪|W20 · 依赖外部化与 Telegram 稳定性大修
文章信息
- 版本: W20 (2026-05-11 → 2026-05-17)
- 最新版本: v2026.5.14-beta.1 (2026-05-14, Pre-release)
- 本地版本: 2026.5.6 · 插件: openclaw-qqbot v1.5.7
- 核心变化: 依赖外部化精简核心体积,Telegram 隔离轮询与格式化修复
一、本周 Release 概览
v2026.5.14-beta.1 · 依赖外部化 + 全通道安全加固(2026-05-14 21:31 UTC)
本周为核心体积优化与安全加固集中发布,依赖外部化是最大亮点,同时 Telegram 稳定性大幅提升。
Breaking Changes
本周 无传统破坏性 API 变更,但以下运行时行为变化需要注意:
| 变更 | 说明 |
|---|---|
| 依赖精简 | proxy-agent、https-proxy-agent、minimatch 已从核心运行时移除,路由经由 @openclaw/proxyline 处理;使用这些包的自定义插件需自行声明依赖 |
| Worktree 锁 | 新增 OPENCLAW_HEAVY_CHECK_LOCK_SCOPE=worktree 环境变量;多 worktree 高并发场景会使用独立锁而非共享锁,可能改变并发检查行为 |
| Sessions_spawn 可见性 | Subagent 任务现在以 [Subagent Task] 系统消息出现在对话中,而非仅藏在 system prompt;历史记录更透明但 token 消耗略增 |
| Queue steer 默认化 | /queue steer 成为默认行为,/queue followup 和 /queue collect 保留给需要旧行为用户;/steer 在不可用时回退为普通提示而非报错 |
其他 Notable Changes
| 分类 | 变化 |
|---|---|
| 依赖外部化 | Amazon Bedrock(及 Bedrock Mantle)、Slack、OpenShell sandbox、Anthropic Vertex 运行时依赖全部从核心剥离,单独安装时不带 AWS SDK / Slack SDK 等大依赖锥 |
| WhatsApp 状态反应 | StatusReactionController 已接入 WhatsApp message turns(queued → thinking → tool → done/error 生命周期),与 Telegram/Discord 持平;新增 deploy/build/concierge emoji 分类 |
| Telegram 隔离轮询 | 隔离 polling worker 现在支持并发 drain 独立 topics、DMs、status/control commands,同时保持同通道顺序;群组媒体处理更安全 |
| Telegram Mini App | openclaw message send --presentation 现支持 Telegram Web App inline buttons(web_app buttons),私有聊天可渲染 Mini App 内联按钮 |
| Codex App-server | 流式 Commentary preambles 进入可编辑频道 progress drafts 而不升级为最终答案;移除打包的 codex-cli 后端,codex-cli/* 模型引用已修复至 openai/* Codex app-server 路由 |
| CLI / Plugins | plugins list --json 路由至解析命令快速路径,响应预算覆盖完整,避免全量 CLI 注册开销;Telegram plugin native commands(如 /codex ...)现在正确解析至 native 命令路径 |
| Memory / Daily files | 支持 memory/YYYY-MM-DD-<slug>.md 格式(session-memory hook 产生的文件);canonical memory/YYYY-MM-DD.md 在 slugged 文件存在时仍优先;Dreaming / rem-backfill / rem-harness / doctor sweep / 短期晋升路径均已更新 |
| Gateway HTTP | /v1/chat/completions、/v1/responses、/v1/embeddings 等 OpenAI 兼容路径现在不信任畸形 Host header,避免预认证 500 错误 |
| Voice Call / Telnyx | 新增实时 media-streaming 通话支持 Conversational voice calls(#81024) |
| RunRetries 配置 | 新增 agents.defaults.runRetries 和 agents.list[].runRetries 配置项,用于嵌入式 Pi runner 重试循环限制 |
| Gateway Heartbeat Metadata | Agent event payloads 新增可选 isHeartbeat 元数据,客户端可区分调度的心跳运行与普通聊天运行 |
Bug Fixes 摘要(40+ 项)
安全/加固类: - 修复大量 Host header 信任问题(OpenAI-compatible HTTP、Telegram webhooks、Voice-call webhooks、Media store 等),全部改为不信任畸形输入,改为稳定错误响应 - Gateway approval access 现绑定到请求者元数据 [AI] - File transfer / QA channel / Microsoft Teams 等多通道 base64 解码错误处理统一修复
Telegram 专项: - 隔离 polling 正确 drain 独立 topics/DMs/concurrency(#81849) - 隔离 polling worker 路径修复(dist/telegram-ingress-worker.runtime.js 不再缺失) - IPv4 Bot API transport 粘性复用,IPv6 有问题的主机不再超时(#76852/#76856) - Plugin native commands 正确使用 active runtime config
内存/会话: - memory/YYYY-MM-DD.md 在 slugged 文件存在时优先(修复记忆覆盖问题) - /new 和 sessions.reset 时正确清除缓存 skills 快照 - Context engine 历史缩减/组装失败时正确失效缓存视图
其他值得注意: - Web Search Brave 检测通过 tools.web.search.apiKey 兼容回退自动修复(#81538) - Plugin 元数据快照 memoization,大型插件集 Gateway 启动扫描性能提升(#81143/#79806) - plugins list --json stdout 现在可解析,不再有 plugin-back 命令行干扰(#81535) - Git plugin install 现在正确识别 ref 而非 checkout flags(#79898)
v2026.5.14-beta.1 依赖证据报告
本周首次附带 openclaw-2026.5.14-beta.1-dependency-evidence.zip 资产文件,包含发布依赖证据报告、npm advisory gating 和 PR 依赖变更感知,帮助维护者审阅依赖风险。
二、本机 OpenClaw 状态
| 项目 | 状态 |
|---|---|
| Core 版本 | 2026.5.6 |
| Gateway | ✅ 运行中 · 127.0.0.1:18789 · Loopback only |
| QQ Bot 插件 | openclaw-qqbot v1.5.7 ⚠️ 版本过旧(最新 v1.7.1) |
| 浏览器插件 | @openclaw/browser-plugin v2026.5.6 ✅ enabled |
| Minimaxi 模型 | ✅ enabled (本机默认模型配置) |
| Exec 安全模式 | deny (受限) |
⚠️ 本机运行 2026.5.6,落后本周最新版本 v2026.5.14-beta.1 约 8 个小版本差距。QQ Bot 插件 v1.5.7 也落后最新 v1.7.1 两个版本。
三、升级必要性分析与步骤
是否需要升级?
建议: ⭐ 强烈建议升级(Pre-release,需评估)
建议升级的理由: 1. 依赖外部化 — 核心体积更小、安装更快、未来维护更清晰 2. Telegram 安全加固 — 本周大量 Host header 不信任修复,覆盖 WhatsApp/Telegram/Voice-call 等多通道;如使用这些通道,安全性显著提升 3. Memory 修复 — memory/YYYY-MM-DD-<slug>.md 文件现在被正确发现,避免会话记忆碎片化 4. Plugin 性能 — 大型插件集启动扫描优化(memoization),减少 Gateway 启动时间 5. CLI / Plugins JSON — plugins list --json 现在干净可解析
需要注意的风险(Pre-release): - ⚠️ 本周最新版本是 Pre-release(beta),v2026.5.14-beta.1,非 stable - 如追求稳定性,建议等待下一 stable tag(如 v2026.5.14 或更高) - 本机 QQ Bot 插件 v1.5.7 → v1.7.1 跨越两个版本,需确认 changelog 无 breaking
升级步骤
# 1. 执行完整升级
openclaw update run
# 2. 运行健康检查
openclaw doctor
# 3. 如有问题自动修复(推荐)
openclaw doctor --fix
# 4. 确认版本
openclaw --version风险提示
- ⚠️ 本周为 Pre-release,生产环境使用前建议在测试实例验证
- ⚠️ 升级前建议
openclaw doctor记录当前状态,便于回滚对比 - ⚠️
openclaw doctor --fix会修改配置文件,如需保留手动配置请提前备份~/.openclaw/openclaw.json - ⚠️ 若使用了
proxy-agent、https-proxy-agent或minimatch的自定义插件,升级后需确认该插件已声明这些依赖
四、版本变化时间线(W20)
2026-05-14 v2026.5.14-beta.1 ← 依赖外部化 + 全通道安全加固 + Pre-release
2026-05-11~ W20 开发周期开始助手点评与分析
W20 是一个架构优化周,依赖外部化意味着: 1. 安装体积缩小 — 不需要 Slack/Bedrock/Vertex 的用户不再为这些 SDK 买单 2. 依赖冲突减少 — 核心与插件依赖树更干净 3. 安全加固系统性升级 — 40+ 项修复集中于输入验证(Host header、base64、JSON 解析),覆盖几乎所有通道
本周最值得关注的变化是 Telegram 隔离轮询重构(#81849)和 Memory daily files 匹配器修复(#69536)——前者解决了 Telegram 在复杂多 topic 场景下的稳定性,后者则确保了会话记忆的正确聚合,避免高敏感孩子在长时间使用中记忆碎片化。
对于 Magritt 的使用场景(本地 Gateway + QQ Bot + Minimax),本周 Pre-release 建议:如当前系统稳定,可等待 stable 版本;如希望尝鲜新安全加固,Pre-release 风险整体可控。
📌 行动项: 关注下一 stable release(如 v2026.5.14),届时建议升级并更新 QQ Bot 插件至 v1.7.1。