OpenClaw v2026.5.4 更新发布

🟢 新功能 / 界面更新

• Google Meet/Voice Call：Twilio 电话加入现在通过实时 Gemini 语音桥接器传输，带有流式音频、压力感知缓冲和打断队列清除，电话参与者的 OpenClaw 语音助手响应更敏捷
• 插件目录：安装未安装的官方外部插件时给出目录驱动的安装提示，引导用户使用 openclaw plugins install <spec> 而不是建议删除有效配置
• OpenAI/Codex 媒体：在运行时和清单元数据中广告 Codex 音频转录能力，并将活跃 Codex 聊天模型路由到 OpenAI 转录默认端点
• 新增 openclaw models auth list [--provider <id>] [--json] 命令，无需泄露密钥即可查看已保存的 per-agent 认证配置
• 控制面板：仪表板面包屑显示当前 Agent 名称；任务侧边栏改为可折叠以释放更多空间
• Google Meet Agent 模式：Chrome 加入会议时自动将音频路由到 BlackHole 2ch，分片语音片段合并后再咨询 Agent，默认使用 STT → OpenClaw Agent → TTS 路径
• 安全：Windows 安装时验证 SystemRoot/WINDIR，防止工作区 .env 中的 LOCALAPPDATA 干扰 Git 发现
• Discord：Gateway 启动不再等待启动探测 bot 完成，WSL2 用户也能快速上线

🔴 底层架构 / 性能优化

• Gateway/Windows：Windows 上默认只绑定 127.0.0.1，避免 libuv 双栈 ::1 行为导致 localhost HTTP 请求卡住
• Agent/性能：将解析的工作区传递给 BTW、压缩、嵌入运行模型生成和 PDF 模型设置，避免重复冷扫描插件元数据
• 插件/性能：未作用域的模型目录和清单合同读取器可重用当前工作区兼容的插件元数据快照，减少热控制平面路径上的冷扫描
• Gateway/启动：延迟非就绪 sidecar 到就绪信号之后，避免热路径通道插件桶导入，快速路径可信捆绑插件元数据
• Gateway/启动：避免在原生可加载插件启动路径上导入 jiti，编译捆绑插件表面不支付源转换加载器成本
• Gateway/诊断：添加启动阶段 span、活动工作标签、陈旧终端桥接标记和 pnpm gateway:watch 中的默认同步 I/O 追踪
• 插件加载器：保留真实编译插件模块评估错误，避免将每个抛出的 .js 模块误判为源转换 fallback 未命中
• Sessions CLI：默认限制最新 100 行输出，新增 --limit <n|all> 和 JSON 分页元数据，防止大型会话存储的无限制轮询

🟡 其他 / 修复

• Gateway/启动：加载拥有明确配置的图像、视频或音乐生成默认的提供商插件，使生成工具在 Gateway 重启后立即生效
• WhatsApp：规范化设置为 WhatsApp 的纯数字 phone id，接受 E.164、JID 和 whatsapp: 输入格式
• Docker：停止将已排除的插件 dist 目录打包到运行时镜像中，官方外部插件（如飞书）保持按需安装
• 医生/插件：doctor --fix 修复缺失的插件本地 openclaw 对等链接，恢复托管 npm 副本，清理过时记录
• Telegram：派生入站媒体占位符时使用保存的 MIME 元数据而非 photo shape，避免非图片附件被误判为图像
• Telegram：论坛话题显式 requireMention 设置优先于持久化的 /activate 和 /deactivate 状态
• Google Meet：保持 introMessage: "" 使实时 Chrome 加入保持静默而非恢复默认语音介绍
• Active Memory：无 memory-core 或 memory-lancedb 时静默跳过 memory 子 Agent，避免误导性警告
• Google Chat：每个 auth 客户端创建隔离的 Google 认证传输，避免 google-auth-library 拦截器突变跨 Webhook 验证累积
• Codex：OAuth 进度Spinner在显示手动重定向粘贴提示前停止，回调超时不Spam终端
• OpenAI Responses：默认使用 SSE 传输而非 WebSocket，避免某些服务器上 WebSocket 挂起的问题
• CLI/启动器：将终止信号转发到编译缓存重新生成子进程，停止孤儿安全审计工作进程
• 浏览器 SSRF：在标签作用域调试/导出/读取路由之前强制执行严格的 SSRF 当前 URL 检查
• Web 搜索/获取：配置从活动运行时快照晚绑定，避免长期运行工具使用过时设置
• 长令牌清理器：不再在行内代码、代码块、表格边框和纯连字符/点分隔标识符中注入空格，复制粘贴保持字节完整
• 飞书：使用共享频道进度格式化器显示工具状态行，包括原始命令/详情输出
• Telegram：提供按钮仅交互式回复时发送共享备用按钮标签文本而非丢弃
• Mattermost：模型选择器说明仅更改会话模型，运行时切换需使用 /oc_model

🔒 安全加固

• Windows 安装根验证器：验证 SystemRoot/WINDIR 环境变量，将危险值添加到 icacls.exe/whoami.exe 的主机环境策略中
• 阻止 LOCALAPPDATA：从工作区 .env 阻止 LOCALAPPDATA，解析 Windows 更新流便携 Git 路径 prepends 仅来自受信任的进程本地 LOCALAPPDATA
• Windows 进程包装器：路由 .cmd/.bat 进程包装器通过共享 Windows 安装根解析器而非 process.env.ComSpec
• SSRF 保护：调试/导出/读取路由前强制执行当前标签 URL 导航策略，阻止标签在响应时返回前被读取

📱 频道修复

• Discord：优先 IPv4 解决 IPv4-only 网络启动卡住问题；失败最终回复递送报告为失败而非成功；重试 Discord READY 等待
• Telegram：长文本最终消息重用活跃预览作为第一块避免重复气泡；清理工具仅草稿预览；渲染共享交互回复按钮
• Slack：保留活跃 Slack 线程中的恢复父级 message.send 调用；记录线程参与以便在机器人参与线程中绕过提及 gating
• WhatsApp：支持显式 @newsletter 出站消息目标使用频道会话元数据；路由登录成功/失败消息通过注入的运行时
• QQBot：保留框架命令授权决策，范围限制为 QQBot 频道
• Matrix：进度预览和审批反应绑定在发布选项反应之前

⚙️ 安装与更新

• 插件更新：npm/ClawHub 混合支持；稳定修正版本处理；包更新后进程明确写入完成结果并退出
• CLI 更新：禁用并跳过失败的包更新插件同步；使用绝对 POSIX npm 脚本 shell
• 医生/插件：包含 plugins.allow-only 官方插件 ID；移除陈旧托管安装记录
• 插件安装：移除之前的管理插件目录；官方插件重新安装恢复；不再对受信任官方 npm 安装打印凭据收割警告
• ClawHub 速率限制：附加 RateLimit-Reset/Retry-After 窗口和未认证时的登录提示

📝 完整更新日志： 查看 GitHub 官方 Release