AgentOS Watch
EN 中文

5月15日

  1. 1

    OpenClaw 把 beta.8 的依赖清理推成稳定版,又用新 beta 补上可审计性与聊天体验

    OpenClaw 这一轮官方动作不只是普通 patch。v2026.5.12 stable 把 beta.6 到 beta.8 里连续推进的依赖外置与运行时加固打成可安装版本:Slack、WhatsApp、Bedrock、Vertex、sandbox 等依赖锥从 core runtime 移出;Telegram 使用 isolated polling 与 local spool;Codex / OpenAI auth-profile 与 fallback 路径修复;plugin install / update 更不容易卡死;Windows sandbox 与 SecretRef credential 边界收紧;UI history 与 reply delivery 也被修。紧接着 v2026.5.14-beta.1 又加了一层更贴近 operator 的东西:WhatsApp 获得 queued、thinking、tool、done、error、compacting 等 lifecycle status reactions;Telegram presentation payload 可以渲染 Mini App `web_app` buttons;subagent task 会作为 child session 第一条 visible message 出现,而不是只藏在 system prompt;mid-turn prompts 默认可 steer active runs;Telnyx realtime voice calls 进入 release notes;agent event payload 增加 heartbeat 标记;可以从 paired node list / bind Codex CLI sessions;release validation 也加入 installed-package Docker user journeys、dependency evidence 与 npm advisory gates。相邻 PR 让风险点更具体:#81880 要求 canonical node platform IDs 后才应用 desktop command defaults;#81451 在不把 raw secrets 放进 cache key 的前提下缓存 hydrated skills;#68597 则用 realpath containment 阻断 memory reads 的 symlink escape。

    OpenClawReleaseRisk Watch
  2. 2

    Hermes workflow core 出现,同时补上 URL safety bypass 与 profile-scoped cron jobs

    Hermes 最新窗口里最值得看的,是架构层更新:PR #25806 增加 workflow system core,包括 workflow policy、store、DAG、gate、materialization foundations,并通过 Core / dashboard 暴露 workflow read、inbox、promotion、gate、materialization API,还加了 stale inbox promotion guards。这说明 Hermes 正从临时 agent turns 往更正式的任务 / 工作流层推进。风险上最该注意的是 #25961:`fe80::1%eth0` 这类 IPv6 scope IDs 会让 URL safety parsing 抛 `ValueError`,旧逻辑直接 silently skip resolved address;如果 attacker 控制的 hostname 只返回这类地址,就可能绕过 link-local 或 cloud metadata 保护。修复方式是 strip scope ID,并对仍无法解析的地址 fail closed。另一个可靠性修复 #25962 解决了昨天提到的 clarify timeout split-brain:CLI callback 现在先读 `agent.clarify_timeout`,再 fallback 到旧的 `clarify.timeout`。PR #25917 让 scheduled jobs 支持指定 profile,使 cron jobs 能在某个 Hermes profile 的 config、scripts、skills、memory paths 下运行。周边 channel 与 operator polish 也很实用:#25956 在送进 TTS 前剥离 emoji、diagrams、inline code、tables 和 symbols,避免语音把 UI 符号念成垃圾;#25960 防止 native Windows 上 Telegram `/restart` 把 gateway 停掉后起不来;#25959 收紧 Discord channel-directory resurrection 并降低 batching latency;#25958 允许配置 Discord role mentions 作为触发;#25954 增加 read-only Kanban metrics CLI,用于 review / verification gates。

    HermesRisk WatchNew AgentOS
  3. 3

    OpenClaw 新一轮 operator 更新:让审批更可读、更隔离,也更不容易污染后续运行

    北京 5 月 15 日凌晨最值得看的 OpenClaw 更新,是让真实 operator 看得懂、也更能信任 agent 将要做什么。PR #81864 加入 configurable plain-language plugin approval prompts,让聊天里的审批能显示简短摘要、步骤、风险提示和选择项,而不是直接把 command text、tool IDs、session keys、expiry、`/approve` syntax 原样甩出来。PR #81380 把 approval list / resolve path 绑定到已记录的 requester metadata,降低一个 requester 看见或处理另一个 requester pending approval 的风险。PR #80922 把 POSIX allowlist、allow-always persistence、approval summaries、enforced shell rendering 统一走 Tree-sitter command authorization planner,替换旧的 chain / pipeline / heredoc parser。相邻修复也都指向运行时漂移:PR #75270 防止临时 fallback model 在 primary 恢复后继续粘住 session;#81868 让 exact-command cron turns 默认不加载笨重的 bootstrap / memory context;#81870 把 auth store 传进 image / video / music generation,让 OAuth-backed Codex token 过期后能刷新;#81764 在 Telegram 拒绝 HTML parse-mode 时生成可读 plain text,并保留链接目标。#81851 也很吸睛,但它用 local TLS proxy 捕获 Claude CLI reasoning stream,属于敏感 experimental preview,不应被当成默认路径宣传。

    OpenClawRisk Watch
  4. 4

    Hermes 用 structured HTTP 和 argv tools 逃离 bash quoting 陷阱

    这个窗口里最有实用价值的 Hermes 更新,是不再把所有机器可结构化的动作都塞进 `bash -c`。PR #25861 增加 structured `http` tool,通过 `httpx.Client` 接收 method、URL、headers、JSON/body、params、timeout 等字段;动机来自 production telemetry:一个 JSON payload 里的 apostrophe 就能打断 shell quoting,并触发重复 retry。PR #25864 给 terminal tool 增加 argv-list form,用 `shell=False` 执行,让参数按 byte-for-byte 传给目标程序,而不是先拼成 shell-safe string。PR #25862 则让旧 terminal path 能识别 unexpected EOF 这类 bash parse errors,并在 tool result 里给出 actionable hint,指向 structured HTTP tool 或更安全的 quoting 写法。周边可靠性也很贴近 operator:issue #25859 记录两套 clarify timeout key,导致用户调大 gateway timeout 后,CLI / TUI 仍会在 120 秒自动决定;PR #25856 修 Telegram slash-confirm preview 在 Markdown-sensitive 字符上 silent fail;#25857 保证迁移 Codex config 时 `default_permissions` 仍是 TOML top-level key;#25858 对 LiteLLM 这类 unrecognized server 跳过需要 proxy_admin 的 `/v1/models/{model}` probe;#25624 则停止 deterministic MCP OAuth failure 反复拉起浏览器授权。

    HermesRisk WatchUse Case

继续关注

全部内容 →
2026-05-14 产品更新 关注

OpenClaw beta.8 精简 core 依赖,并加固 Telegram 入站、child-model defaults、凭据和富回复

OpenClaw v2026.5.12-beta.8 仍是一版覆盖面很宽的 operator release,但重心从单点 channel bug 转向 runtime shape。Bedrock、Bedrock Mantle、Slack、OpenShell sandbox、Anthropic Vertex 被移出 core,默认安装不再把这些 provider / plugin 的依赖树一起拉进来。Telegram Bot API polling 被移到 isolated worker,并加 durable local spool,让 main event-loop 卡住时入站消息采集不跟着停。Release 还加入 ACP backend fallbacks、Control UI auto-scroll selector、SSE history 的 monotonic transcript sequence 修复、Windows `USERPROFILE` sandbox blocked home roots、更严格的 SecretRef provider credential resolution、bodyless media-fetch 避免 heap 浪费、onboarding provider API key flag 转发、从 setup env vars 发现 provider plugins、auth-profile stale-lock reclaim、Codex OAuth refresh error 分类、browser scope-loop 缩减、plugin SDK subpath 兼容、rich / card-only outbound content 识别,以及 Codex `tools.message` 回复在 WebChat / TUI 中正确镜像。
2026-05-14 风险提醒 风险

Hermes approval hardening 修掉 critical YOLO-mode bypass,并暴露长会话失败模式

5 月 14 日后半段最值得读的 Hermes 更新,不是 UI 小修,而是 approval safety。PR #23835 说 `HERMES_YOLO_MODE` 每次 approval check 都从 `os.getenv()` 读取,因此 skill 或被 prompt-injection 影响的 in-process tool 可以在启动后改 `os.environ`,直接关闭 command approval checks。同一个 PR 还把 LLM smart-approval parsing 从 substring match 改成精确 `APPROVE`,为过去没有 audit trail 的 background dangerous auto-approval 加 warning log,并扩展 pipe-to-shell detection,覆盖 `/bin/bash` 和 `bash -c` 变体。相邻可靠性 work 对同一批 operator 也重要:PR #25716 为长上下文压缩加入 hierarchical map-reduce,把巨大 transcript 拆成 bounded segments;issue #25723 则报告一次 provider streaming error 可能让整个 session 禁用 streaming,而不是只影响当前 request。
2026-05-14 风险提醒 关注

Hermes 最新可靠性问题集中在 Web UI 消失消息、压缩失败、vision fallback 和 dashboard auth

这个窗口里最值得读的 Hermes cluster,是 visible state 和 model state 能不能保持一致。Issue #25583 报告 Web UI SSE 断开后,已经完整渲染的 assistant reply 会突然消失,另一个 session 的内容会短暂串到当前 session,或者 raw Python content-block JSON 被当聊天文本显示;根因是浏览器 stream 掉线时 `_handle_run_events()` 在 `finally` 里销毁 run event queue,而 agent 仍在运行。Issue #25585 和 PR #25588 处理更危险的 model-state 问题:automatic context compression 在 summary generation 失败时,会插入 “summary unavailable” 静态标记,但仍然丢掉中间 turns;修复后改为返回原始 messages,不做破坏性压缩,并记录 warning state。Issue #25594 指出 models.dev registry 不认识的 custom providers 可能收到 text+image multipart tool results,即使模型本身 text-only,最终触发 `text is not set` 这类 HTTP 400;#25602 则要求 dashboard 能看见并测试 vision、compression 等 auxiliary fallback chains。旁边 PR 也围绕可靠性:#25577 支持 anyOf / oneOf schema 的 tool arg coercion,#25580 把 cloud browser providers 迁到 plugins,#25584/#25587 修无按钮平台上的多选 clarify text fallback,#20515 在配置 Tailscale allowlist 时用身份头保护 dashboard HTML/assets 和 WebSocket。
2026-05-14 产品更新 关注

OpenClaw beta.6 把本周分散的安全与运行时修复收成一个升级目标

这轮最值得看的新内容是 OpenClaw v2026.5.12-beta.6:它把一大批 operator hardening 收进了一个官方 prerelease。Release 修掉 iMessage 纯图片发送时可见的 <media:image> 占位文字;让 configured agent 第一次 agent-to-agent send 前先创建主 session;Gateway protocol 升到 v4,输出明确的 delta / replace streaming frames;Node pairing 在批准前隐藏 pending commands、capabilities、permissions;setup-code device pairing、browser pairing、Control UI proxy-scoped access 都需要明确批准,并加固 trusted-proxy source validation。它还给 Feishu / WhatsApp / Line 入站媒体下载流加 size cap;把 plugin install-time code scan 收窄到 plugin-owned runtime entrypoints,同时保留 dependency manifest denylist;集中串行化并重试 config mutation;保留和清理 managed peer dependencies;固定 Docker setup path,避免 stale host .env OpenClaw 路径漏进容器;同时修了 Copilot Gemini 图片理解、Anthropic session rotation 失忆、OpenAI-compatible schema items、idle model watchdog fallback、集中 transcript redaction、Telegram polling stall、token rotation offsets、delegated-session tool restrictions、node exec provenance、hook CLI authority 等边界。旁边新开的 #81548 也值得一起看:报告 v2026.5.7 下 isolated agent 每轮有 25-30 秒 OpenClaw overhead,而同等约 30K tokens 直接调 Ollama 只要约 2.3 秒,怀疑瓶颈在 prompt assembly。