5月12日
OpenClaw issue #80578 报告了一个高优先级隐私 / 安全回归:一条发给用户的 iMessage 回复,在真正要发出的正文前,先露出了一段内部 planning 文本。该 issue 明确建议不要把它只当 iMessage bug,而应视为 shared output boundary 问题:如果最终发送层把 hidden planning、draft rationale 或 self-instructions 当普通文本送出,同类泄漏可能出现在任何频道 adapter。
Hermes PR #23742 新增一组 authenticated remote management endpoints,覆盖 sessions、profiles、SOUL / persona files、memory、toolsets、skills 和 gateway status,让 desktop / dashboard clients 不必靠 filesystem 或 SSH 也能管理 Agent。同一批当前工作里,PR #22535 修掉了更危险的 ACP 边界:过去 ACP clients 可以在 new / load / resume / fork session setup 时传入 stdio MCP server definitions,而这些 definitions 里的本地命令可能在正常 agent turn 或 dangerous-command approval path 之前就被启动。修复方向是默认禁用 client-provided stdio MCP servers,同时保留 HTTP / SSE MCP servers,并提供 explicit trusted-operator opt-in。PR #23740 还把 clarify tool 接到 messaging platforms,说明 Hermes 的远程和频道运行正在变得更可交互,而不只是 headless API。
OpenClaw v2026.5.10-beta.4 取代 beta.3,成为当前 prerelease。真正值得看的不是某个单点功能,而是一轮围绕常驻 Agent 运维的硬化:per-agent message-tool policy overrides 可以限制 public / sandboxed agents 只向当前会话发消息、只暴露 send-only actions;Codex app-server 在 bounded interrupt 后会退休超时 client,避免 Discord 运行继续复用 CPU-spinning 进程;长会话 transcript 查询从 whole-file read 改成 bounded streaming helpers,官方给出的 200 MiB synthetic transcript 峰值 RSS 从 +252 MiB 降到 +27 MiB;secret-shaped payloads 会被持久化前 redaction;memory promotion 被限制在 bootstrap budget 内;同时 Slack、Telegram、WhatsApp、Cron、voice、model provider、Gateway 和 Control UI 都有大量面向真实频道故障的修复。
OpenClaw beta 后最值得看的不是单个功能,而是一组 session integrity 报告。Issue #48241 说,当同一会话里用户快速连续发消息时,运行会被 abort,但系统仍可能写入一条 assistant 回复,内容来自无关的 stale buffer;日志里的 token count 与可见文本长度也对不上。PR #48283 的修复方向是丢弃 aborted assistant messages,而不是把它们发给用户。另一条 compaction 线指出,长期会话接近 94% context 时可能堆积 tool-failure loops、stale reminders 和弱用户目标跟踪;PR #48350 新增 post-compaction validator,用来检查目标保留、待办保留、stale system promotion、failure collapse 和是否应建议 reset。相邻两个需求也指向同一问题:thread 里的图片需要 timestamp / position metadata,避免旧截图压过用户的新文字;secure chat mode 则让敏感会话能选择不写 transcript、summary 和 memory。
Mercury PR #46 虽然改动不大,但对依赖权限模型的用户很紧急。报告指出,shell permission gate 会把 blocked、auto-approved、needs-approval 规则匹配到整条命令字符串,而不是逐段检查 shell segment。结果是,看起来安全的 `echo *` 或 `ls` 可能让后面追加的 `; rm -rf ~`、`&& cat /etc/shadow`、管道执行 `sh` 或 command substitution 一起通过。PR 将它标为 critical CWE-78,因为它绕过的正是 permission-hardened personal agent 最核心的安全边界。
OpenClaw v2026.5.9-beta.1 是这轮最值得跟踪的新生态更新:重点不是所有团队都该马上升级,而是它预告了 runtime 的方向。发布内容包括 `/think default`、`/fast default` 这类默认值重置命令,更清晰的 CLI / startup / config / channel / MCP 错误恢复提示,agent prompt 中注入当前 provider / model 身份,统一 text / image / video / music provider catalog,一个用于受控 `oc://` 文件访问的 bundled `oc-path` plugin,更完整的 plugin SDK presentation 与 channel-message contracts,以及大规模 Discord voice / realtime 推进。运维侧也加入 shared Telegram throttling、Docker `tini` 子进程回收、task-ledger RPC 稳定化、Active Memory allowlists、durable message receipts、fs-safe 输出 staging,以及大量 gateway / session 性能修复。
Hermes PR #22820 把一个常见的多 Agent 失败模式变成了明确控制项。报告描述了一个 delegated subagent 偏离任务范围:运行 175 秒、上下文从约 33K 膨胀到 72K+ tokens、发起 10+ 次 API 调用,最后只能手动中断。拟议修复加入最大 child context、输出/输入增长比例、wall-clock timeout 三类配置,一旦越界就把 child 标记为 `resource_limit_exceeded`。PR #22944 处理另一个相邻可靠性问题:反复 context re-compression 后,agent 的 `## Active Task` 字段可能被 `[N/A]`、过期任务或幻觉内容覆盖。
5 月 10 日这组 OpenClaw PR 没有 beta release 那么显眼,但对把 Agent 接入真实渠道的团队很实用。PR #80151 给 `openclaw agent --json --deliver` 增加结构化投递结果:`sent`、`suppressed`、`partial_failed`、`failed`,在 durable delivery 能提供时还包含逐 payload 结果。PR #80217 让 Codex-native tools 进入 diagnostic watchdog 视野,长时间运行的 native bash 或 scraper 不会被误判成废弃的 embedded run。PR #80251 修复 session reset:生成新 session id 时也会轮换 generated transcript 文件,并清掉旧 compaction checkpoints。PR #80250 则在 channel-routed agent 缺少 `message` tool 时给 doctor warning,避免把工具策略问题误说成平台能力限制。