发布日期: 2026-03-15
当前版本: 2026.3.13 → 2026.3.13-1
更新优先级: 🟡 中等(建议 24 小时内更新)

📋 更新摘要

本次更新是2026.3.13 的紧急补丁版本,主要修复了多个高危安全漏洞和一些关键 Bug。虽然问题数量不多,但涉及设备配对、webhook 验证、远程附件等核心安全模块,建议尽快更新

🔒 核心安全修复

1. 设备配对安全(高危)

  • 问题: 设置码可被重放使用,可能被扩大为管理员权限
  • 修复: 设置码改为单次使用,配对后立即失效
  • 影响: 所有使用设备配对功能的部署

2. Telegram Webhook 验证(高危)

  • 问题: 先解析请求体再验证密钥,可能消耗 1MB 资源
  • 修复: 先验证 webhook 密钥,再读取/解析请求体
  • 影响: 使用 Telegram webhook 模式的部署

3. iMessage 远程附件(高危)

  • 问题: 远程附件路径未验证,发送者可注入 Shell 元字符
  • 修复: 在生成 SCP 命令前拒绝不安全路径
  • 影响: 使用 iMessage 远程附件功能的部署

4. 外部内容标记绕过(中危)

  • 问题: 零宽度和软连字符可绕过 EXTERNAL_UNTRUSTED_CONTENT 标记
  • 修复: 清理这些特殊字符,强制进入硬化的回退路径
  • 影响: 所有处理外部内容的部署

🛡️ 执行审批安全增强

1. pnpm 运行时识别

  • 识别 pnpm --reporter ... exec 形式
  • 识别直接 pnpm node 文件运行
  • 更新文档和回归测试

2. Perl 审批流程

  • 修复 -M(模块预加载)审批流程
  • 修复 -I(加载路径)审批流程
  • 防止模块解析绕过审批

3. PowerShell 包装形式

  • 识别 -File-f 包装形式
  • 与现有 -Command 变体保持一致
  • 统一审批和分析路径

4. env 调度包装器

  • 在 macOS 审批绑定中 unwrap env 包装
  • 支持 env FOO=bar /path/to/bin 形式
  • 针对有效可执行文件进行解析

🐛 重要 Bug 修复

Control UI / Dashboard

  • UI 冻结: 修复工具重载导致的完整聊天历史重新加载
  • 新消息按钮: 恢复 chat-new-messages 类,修复 SVG 覆盖问题
  • 大文本回复: 渲染为正常段落而非灰色代码块

网关和会话

  • 会话重置: 保持 lastAccountIdlastThreadId 跨重置
  • 客户端请求: 拒绝未回答的 RPC 调用,清除挂起状态
  • Control UI 认证: 保留显式共享令牌和密码认证

浏览器控制

  • 会话生命周期: 强化驱动验证和会话生命周期管理
  • Chrome DevTools MCP: 添加官方附加模式支持
  • ARIA 角色: 提取共享角色集,减少重复代码

渠道稳定性

  • Ollama: 防止推理模型泄露内部思考到最终回复
  • Telegram: SSRF 防护的文件下载支持 IPv4 回退
  • Discord: 将纯文本网关错误视为瞬态启动错误
  • Slack: 保持 auth.test() 机器人和团队元数据映射稳定

macOS / Windows

  • macOS 语音唤醒: 修复语音段范围崩溃
  • Windows 网关安装: 绑定 schtasks 调用,回退到启动文件夹
  • Windows 网关停止: 解析启动文件夹回退监听器端口
  • Windows 网关状态: 复用已安装服务命令环境
  • Windows 网关认证: 停止在本地环回附加设备身份

✨ 功能改进

Android / iOS

  • 深色主题: 跨引导和引导后屏幕的系统感知深色主题
  • iOS 引导: 添加首次运行欢迎页,停止自动打开 QR 扫描器
  • QR 扫描: 切换到 Google Code Scanner,更可靠

浏览器控制

  • Chrome DevTools MCP: 官方附加模式,支持登录的实时 Chrome 会话
  • 内置配置文件: profile="user" 用于登录的主机浏览器
  • 批量操作: 添加选择器定位和延迟点击

其他改进

  • Docker 时区: 添加 OPENCLAW_TZ 环境变量覆盖
  • Cron 会话: 支持绑定到创建会话或持久命名会话
  • Telegram: 添加 --force-document 参数上传图片/动图为文档

⚠️ 破坏性变更

内存引导文件合并

问题: 同时存在 MEMORY.mdmemory.md 会导致重复注入

修复:

  • MEMORY.md 优先级更高
  • memory.md 仅在 MEMORY.md 不存在时使用
  • 适用于大小写不敏感的 Docker 挂载

建议: 如果你同时使用了这两个文件,请合并它们。

📊 更新统计

类别 修复数量
安全修复 10+
Bug 修复 20+
功能改进 8+
文档更新 5+

✅ 更新建议

优先级分级

部署类型 优先级 建议时间
公开部署 🟡 中等 24 小时内
本地测试 🟢 低 方便时
生产环境 🟡 中等 本周内
处理敏感数据 🟡 中等 24 小时内

更新后检查

# 检查版本
openclaw status

# 检查安全配置
openclaw security audit

# 检查网关健康
openclaw gateway status

# 验证内存系统
openclaw memory status

🔗 参考链接

💡 关键问题详解

为什么这次是"补丁版本"(-1 后缀)?

  1. 距离主版本发布仅 2 天(2026.3.13 → 2026.3.13-1)
  2. 主要是安全修复,没有重大功能变更
  3. 快速响应发现的高危漏洞

哪些部署应该优先更新?

高优先级:

  • ✅ 使用 Telegram webhook 模式
  • ✅ 启用设备配对功能
  • ✅ 使用 iMessage 远程附件
  • ✅ 公开暴露在公网

中优先级:

  • ✅ 使用执行审批功能
  • ✅ 处理敏感数据
  • ✅ 多用户环境

低优先级:

  • ✅ 纯本地测试环境
  • ✅ 单用户封闭部署

更新会影响现有功能吗?

不会。所有修复都是向后兼容的:

  • ✅ 安全边界更严格
  • ✅ Bug 修复提升稳定性
  • ✅ 少量新功能(可选)
  • ⚠️ 仅需注意内存文件合并

本文由 OpenClaw AI 助手「小墨」协助整理,基于官方 CHANGELOG 编写。

# 安全 # 人工智能
Logo
龙虾开发者社区

小龙虾开发者社区是 CSDN 旗下专注 OpenClaw 生态的官方阵地,聚焦技能开发、插件实践与部署教程,为开发者提供可直接落地的方案、工具与交流平台,助力高效构建与落地 AI 应用

更多推荐

cover

Seedance 2.0 Skill 一键写好剧本上线了coze的技能商店了,免费

avatar 龙虾开发者社区

一键部署Clawdbot:让Qwen3-32B大模型拥有流式对话界面

本文介绍了如何在星图GPU平台上自动化部署Clawdbot 整合 Qwen3:32B 代理直连 Web 网关配置Chat平台镜像,快速搭建流式对话界面。该方案专为已部署Qwen3-32B大模型的用户设计,提供零配置的Web交互界面,适用于企业内部知识问答、智能客服等场景,显著提升大模型易用性。

avatar 龙虾开发者社区

PCB设计效率翻倍!实测EDA365 Skill和凡亿Skill的10个超实用功能

本文深度评测EDA365 Skill和凡亿Skill在Cadence Allegro平台上的10个超实用功能,包括智能等长布线、自动优化走线、3D碰撞检测等,实测显示可提升PCB设计效率35%-40%。特别适合处理DDR4、USB差分对等复杂场景,帮助工程师大幅缩短设计周期。

avatar 龙虾开发者社区