为什么 4.8 来得这么快?
2026.4.7 是 OpenClaw 近期功能最密集的版本之一,带来了大量新特性。但也正因改动幅度大,上线后暴露了数个影响核心功能的问题:Extension 加载逻辑缺陷导致部分插件无法正常启动,而内存持久化层面的 bug 则造成了 sessions.json 文件膨胀和 RAM 消耗异常。官方在收到大量用户反馈后,紧急发布了 4.8 热修复版本。
核心修复:Extension 加载机制
4.8 版本重点修复了 Extension 的加载逻辑。此前的版本中,某些情况下插件在 Gateway 启动时未能正确初始化,导致工具链断裂。本次修复重新梳理了加载时序,确保插件在 Gateway 完全就绪后才开始注册。
内存与存储:sessions.json 问题修复
长期运行的 Gateway 实例中,sessions.json 文件容易出现体积膨胀、读取超时的问题,进而影响会话恢复的稳定性和响应延迟。4.8 版本对 sessions.json 的写入策略做了调整,减少了不必要的写入操作,并优化了文件读取的路径。
安全修复:Shell-Bleed 防护补丁
本次更新还包含了针对 CVE-2026-34425(Shell-Bleed 防护预验证绕过)的修复。该漏洞允许攻击者通过精心构造的命令注入绕过安全检查,CVSS 评分 5.3(Medium)。所有使用 Gateway 远程执行功能的用户都应尽快升级。
此外,同期修复的漏洞还包括:
- CVE-2026-33580:Nextcloud Talk Webhook 缺少速率限制(认证旁路风险)
- CVE-2026-33578:Google Chat / Zalouser 群组发件人白名单绕过
4.7 版本新功能回顾
v2026.4.7 还带来了多项值得关注的新特性:
- openclaw infer:全新 CLI 推理工具,支持直接调用内置模型
- 音乐 + 视频生成:内置音乐/视频生成与编辑能力
- Session Branch/Restore:会话分支与恢复功能
- TaskFlows:Webhook 驱动的任务自动化框架
- 新模型支持:Arcee、Gemma 4、Ollama vision
- memory-wiki:持久化知识系统,比传统「好感度」机制更可靠
- Control UI 本地化:支持多语言界面
Provider 层面修复
4.8 / 4.7 还同步修复了多个 Provider 层的问题:
- TTS 显式覆盖处理逻辑修正
- 按请求的转录 prompt / 语言覆盖
- 图片输出 MIME 类型与文件扩展名匹配修复
- 配置化 Web 搜索回退行为
- GPT-5.4 assistant phase 元数据透传(Gateway /v1/responses 层)
- 评论内容缓冲至 final_answer 阶段,解决 Web 聊天和 Telegram 预览时泄漏思考过程的问题
升级建议
本次更新包含多个高优先级安全修复,所有用户都应立即升级。尤其是开启了 Gateway 远程访问或使用 Webhook 集成的用户,不升级将面临命令注入和未授权访问风险。
升级命令:
npm install -g openclaw@latestGitHub Release:openclaw/[email protected]
