AgentOS Watch
EN 中文

全部内容

按时间整理:发生了什么,为什么值得看,接下来该关注什么。

2026-05-15 产品更新 关注

OpenClaw 把 beta.8 的依赖清理推成稳定版,又用新 beta 补上可审计性与聊天体验

OpenClaw 这一轮官方动作不只是普通 patch。v2026.5.12 stable 把 beta.6 到 beta.8 里连续推进的依赖外置与运行时加固打成可安装版本:Slack、WhatsApp、Bedrock、Vertex、sandbox 等依赖锥从 core runtime 移出;Telegram 使用 isolated polling 与 local spool;Codex / OpenAI auth-profile 与 fallback 路径修复;plugin install / update 更不容易卡死;Windows sandbox 与 SecretRef credential 边界收紧;UI history 与 reply delivery 也被修。紧接着 v2026.5.14-beta.1 又加了一层更贴近 operator 的东西:WhatsApp 获得 queued、thinking、tool、done、error、compacting 等 lifecycle status reactions;Telegram presentation payload 可以渲染 Mini App `web_app` buttons;subagent task 会作为 child session 第一条 visible message 出现,而不是只藏在 system prompt;mid-turn prompts 默认可 steer active runs;Telnyx realtime voice calls 进入 release notes;agent event payload 增加 heartbeat 标记;可以从 paired node list / bind Codex CLI sessions;release validation 也加入 installed-package Docker user journeys、dependency evidence 与 npm advisory gates。相邻 PR 让风险点更具体:#81880 要求 canonical node platform IDs 后才应用 desktop command defaults;#81451 在不把 raw secrets 放进 cache key 的前提下缓存 hydrated skills;#68597 则用 realpath containment 阻断 memory reads 的 symlink escape。

值得注意: 如果之前在等 beta.8 的修复,v2026.5.12 更适合作为升级候选,但仍要在自己的 Telegram ingress、Codex OAuth、plugin install / update、Windows sandbox 场景里 staging。beta.1 则先验证 lifecycle reactions、subagent task disclosure、Mini App buttons、node-backed Codex binding 和 voice-call paths,再考虑给生产用户打开。
2026-05-15 风险提醒 关注

Hermes workflow core 出现,同时补上 URL safety bypass 与 profile-scoped cron jobs

Hermes 最新窗口里最值得看的,是架构层更新:PR #25806 增加 workflow system core,包括 workflow policy、store、DAG、gate、materialization foundations,并通过 Core / dashboard 暴露 workflow read、inbox、promotion、gate、materialization API,还加了 stale inbox promotion guards。这说明 Hermes 正从临时 agent turns 往更正式的任务 / 工作流层推进。风险上最该注意的是 #25961:`fe80::1%eth0` 这类 IPv6 scope IDs 会让 URL safety parsing 抛 `ValueError`,旧逻辑直接 silently skip resolved address;如果 attacker 控制的 hostname 只返回这类地址,就可能绕过 link-local 或 cloud metadata 保护。修复方式是 strip scope ID,并对仍无法解析的地址 fail closed。另一个可靠性修复 #25962 解决了昨天提到的 clarify timeout split-brain:CLI callback 现在先读 `agent.clarify_timeout`,再 fallback 到旧的 `clarify.timeout`。PR #25917 让 scheduled jobs 支持指定 profile,使 cron jobs 能在某个 Hermes profile 的 config、scripts、skills、memory paths 下运行。周边 channel 与 operator polish 也很实用:#25956 在送进 TTS 前剥离 emoji、diagrams、inline code、tables 和 symbols,避免语音把 UI 符号念成垃圾;#25960 防止 native Windows 上 Telegram `/restart` 把 gateway 停掉后起不来;#25959 收紧 Discord channel-directory resurrection 并降低 batching latency;#25958 允许配置 Discord role mentions 作为触发;#25954 增加 read-only Kanban metrics CLI,用于 review / verification gates。

值得注意: 如果在运行 Hermes,凡是 agent 会 fetch URL 或 proxy web content 的环境,优先合入或验证 URL-safety patch。然后用 stale inbox、gate transitions 测 workflow APIs;用 profile-specific skills / memory 测 profile-pinned cron jobs;同时横向验证 Gateway、CLI、TUI 的 clarify timeout。聊天部署还要先回归 Windows Telegram restart 与 Discord role / channel controls。
2026-05-15 风险提醒 关注

OpenClaw 新一轮 operator 更新:让审批更可读、更隔离,也更不容易污染后续运行

北京 5 月 15 日凌晨最值得看的 OpenClaw 更新,是让真实 operator 看得懂、也更能信任 agent 将要做什么。PR #81864 加入 configurable plain-language plugin approval prompts,让聊天里的审批能显示简短摘要、步骤、风险提示和选择项,而不是直接把 command text、tool IDs、session keys、expiry、`/approve` syntax 原样甩出来。PR #81380 把 approval list / resolve path 绑定到已记录的 requester metadata,降低一个 requester 看见或处理另一个 requester pending approval 的风险。PR #80922 把 POSIX allowlist、allow-always persistence、approval summaries、enforced shell rendering 统一走 Tree-sitter command authorization planner,替换旧的 chain / pipeline / heredoc parser。相邻修复也都指向运行时漂移:PR #75270 防止临时 fallback model 在 primary 恢复后继续粘住 session;#81868 让 exact-command cron turns 默认不加载笨重的 bootstrap / memory context;#81870 把 auth store 传进 image / video / music generation,让 OAuth-backed Codex token 过期后能刷新;#81764 在 Telegram 拒绝 HTML parse-mode 时生成可读 plain text,并保留链接目标。#81851 也很吸睛,但它用 local TLS proxy 捕获 Claude CLI reasoning stream,属于敏感 experimental preview,不应被当成默认路径宣传。

值得注意: 如果在聊天渠道跑 OpenClaw,把 approval 变更放进 staging,用真实 Telegram / Slack approval cards 验证 requester isolation、allow-always 行为和被拒绝的 shell chains。再回归:model fallback 恢复后是否不粘住;Codex 迁移后的 command cron 是否不超时;OAuth-backed image / video / music tools 在 token 过期后能否刷新;Telegram HTML 被拒时 fallback 是否可读。
2026-05-15 产品更新 关注

Hermes 用 structured HTTP 和 argv tools 逃离 bash quoting 陷阱

这个窗口里最有实用价值的 Hermes 更新,是不再把所有机器可结构化的动作都塞进 `bash -c`。PR #25861 增加 structured `http` tool,通过 `httpx.Client` 接收 method、URL、headers、JSON/body、params、timeout 等字段;动机来自 production telemetry:一个 JSON payload 里的 apostrophe 就能打断 shell quoting,并触发重复 retry。PR #25864 给 terminal tool 增加 argv-list form,用 `shell=False` 执行,让参数按 byte-for-byte 传给目标程序,而不是先拼成 shell-safe string。PR #25862 则让旧 terminal path 能识别 unexpected EOF 这类 bash parse errors,并在 tool result 里给出 actionable hint,指向 structured HTTP tool 或更安全的 quoting 写法。周边可靠性也很贴近 operator:issue #25859 记录两套 clarify timeout key,导致用户调大 gateway timeout 后,CLI / TUI 仍会在 120 秒自动决定;PR #25856 修 Telegram slash-confirm preview 在 Markdown-sensitive 字符上 silent fail;#25857 保证迁移 Codex config 时 `default_permissions` 仍是 TOML top-level key;#25858 对 LiteLLM 这类 unrecognized server 跳过需要 proxy_admin 的 `/v1/models/{model}` probe;#25624 则停止 deterministic MCP OAuth failure 反复拉起浏览器授权。

值得注意: 新工具可用后,把 API calls 和 payload-heavy commands 优先迁到 structured HTTP 或 argv form。回归用例里加入 apostrophes、URLs、Markdown-sensitive file paths 和 JSON bodies。如果依赖 clarify 做 review / walkthrough,在 duplicated config 统一前,同时测试 gateway 与 CLI / TUI 两条 timeout path。
2026-05-14 产品更新 关注

OpenClaw beta.8 精简 core 依赖,并加固 Telegram 入站、child-model defaults、凭据和富回复

OpenClaw v2026.5.12-beta.8 仍是一版覆盖面很宽的 operator release,但重心从单点 channel bug 转向 runtime shape。Bedrock、Bedrock Mantle、Slack、OpenShell sandbox、Anthropic Vertex 被移出 core,默认安装不再把这些 provider / plugin 的依赖树一起拉进来。Telegram Bot API polling 被移到 isolated worker,并加 durable local spool,让 main event-loop 卡住时入站消息采集不跟着停。Release 还加入 ACP backend fallbacks、Control UI auto-scroll selector、SSE history 的 monotonic transcript sequence 修复、Windows `USERPROFILE` sandbox blocked home roots、更严格的 SecretRef provider credential resolution、bodyless media-fetch 避免 heap 浪费、onboarding provider API key flag 转发、从 setup env vars 发现 provider plugins、auth-profile stale-lock reclaim、Codex OAuth refresh error 分类、browser scope-loop 缩减、plugin SDK subpath 兼容、rich / card-only outbound content 识别,以及 Codex `tools.message` 回复在 WebChat / TUI 中正确镜像。

值得注意: 如果在跑 Telegram、Windows host、Codex OAuth、ACP、Control UI、child subagents 或 rich interactive replies,可以把 beta.8 当 staging 候选。重点回归:人为制造 event-loop stall 时 Telegram 入站是否持续;Windows home 下 `.codex` / `.openclaw` / `.ssh` 是否被 sandbox deny;SecretRef-backed provider API key 是否正常;rich presentation / button-only send 在 cron、heartbeat、follow-up 路径是否不再被当空回复;依赖外置后 plugin install 是否完整。
2026-05-14 风险提醒 风险

Hermes approval hardening 修掉 critical YOLO-mode bypass,并暴露长会话失败模式

5 月 14 日后半段最值得读的 Hermes 更新,不是 UI 小修,而是 approval safety。PR #23835 说 `HERMES_YOLO_MODE` 每次 approval check 都从 `os.getenv()` 读取,因此 skill 或被 prompt-injection 影响的 in-process tool 可以在启动后改 `os.environ`,直接关闭 command approval checks。同一个 PR 还把 LLM smart-approval parsing 从 substring match 改成精确 `APPROVE`,为过去没有 audit trail 的 background dangerous auto-approval 加 warning log,并扩展 pipe-to-shell detection,覆盖 `/bin/bash` 和 `bash -c` 变体。相邻可靠性 work 对同一批 operator 也重要:PR #25716 为长上下文压缩加入 hierarchical map-reduce,把巨大 transcript 拆成 bounded segments;issue #25723 则报告一次 provider streaming error 可能让整个 session 禁用 streaming,而不是只影响当前 request。

值得注意: 如果在跑 Hermes skills、background tools 或 delegated agents,把 approval hardening 当成 staging blocker。重点验证:进程启动后修改 `HERMES_YOLO_MODE` 不生效;模型输出里只是包含 APPROVE 这个词不会自动批准;pipe-to-shell 变体会被识别;compression / streaming failure 是 per-request 可见降级,而不是整个 session 悄悄变差。
2026-05-14 风险提醒 关注

Hermes 最新可靠性问题集中在 Web UI 消失消息、压缩失败、vision fallback 和 dashboard auth

这个窗口里最值得读的 Hermes cluster,是 visible state 和 model state 能不能保持一致。Issue #25583 报告 Web UI SSE 断开后,已经完整渲染的 assistant reply 会突然消失,另一个 session 的内容会短暂串到当前 session,或者 raw Python content-block JSON 被当聊天文本显示;根因是浏览器 stream 掉线时 `_handle_run_events()` 在 `finally` 里销毁 run event queue,而 agent 仍在运行。Issue #25585 和 PR #25588 处理更危险的 model-state 问题:automatic context compression 在 summary generation 失败时,会插入 “summary unavailable” 静态标记,但仍然丢掉中间 turns;修复后改为返回原始 messages,不做破坏性压缩,并记录 warning state。Issue #25594 指出 models.dev registry 不认识的 custom providers 可能收到 text+image multipart tool results,即使模型本身 text-only,最终触发 `text is not set` 这类 HTTP 400;#25602 则要求 dashboard 能看见并测试 vision、compression 等 auxiliary fallback chains。旁边 PR 也围绕可靠性:#25577 支持 anyOf / oneOf schema 的 tool arg coercion,#25580 把 cloud browser providers 迁到 plugins,#25584/#25587 修无按钮平台上的多选 clarify text fallback,#20515 在配置 Tailscale allowlist 时用身份头保护 dashboard HTML/assets 和 WebSocket。

值得注意: 如果在用 Hermes Web UI 或长会话,模拟浏览器 SSE 中途断开,确认 final message、session identity 和 raw content blocks 都不会错。依赖 automatic compaction 前,先启用或等待 compression fail-closed 修复。使用 custom / regional provider 的部署,要显式测试 vision tool-result 路径;在 dashboard 完善前,把 fallback-chain 状态接入 operator checks。
2026-05-14 产品更新 关注

OpenClaw beta.6 把本周分散的安全与运行时修复收成一个升级目标

这轮最值得看的新内容是 OpenClaw v2026.5.12-beta.6:它把一大批 operator hardening 收进了一个官方 prerelease。Release 修掉 iMessage 纯图片发送时可见的 <media:image> 占位文字;让 configured agent 第一次 agent-to-agent send 前先创建主 session;Gateway protocol 升到 v4,输出明确的 delta / replace streaming frames;Node pairing 在批准前隐藏 pending commands、capabilities、permissions;setup-code device pairing、browser pairing、Control UI proxy-scoped access 都需要明确批准,并加固 trusted-proxy source validation。它还给 Feishu / WhatsApp / Line 入站媒体下载流加 size cap;把 plugin install-time code scan 收窄到 plugin-owned runtime entrypoints,同时保留 dependency manifest denylist;集中串行化并重试 config mutation;保留和清理 managed peer dependencies;固定 Docker setup path,避免 stale host .env OpenClaw 路径漏进容器;同时修了 Copilot Gemini 图片理解、Anthropic session rotation 失忆、OpenAI-compatible schema items、idle model watchdog fallback、集中 transcript redaction、Telegram polling stall、token rotation offsets、delegated-session tool restrictions、node exec provenance、hook CLI authority 等边界。旁边新开的 #81548 也值得一起看:报告 v2026.5.7 下 isolated agent 每轮有 25-30 秒 OpenClaw overhead,而同等约 30K tokens 直接调 Ollama 只要约 2.3 秒,怀疑瓶颈在 prompt assembly。

值得注意: 把 beta.6 当成一个 hardening checkpoint,而不是无脑自动升级。跑公开或半公开 channel 的部署,优先测试 pairing approval flow、transcript redaction、media size cap、plugin install 行为、delegated-session tool restrictions、Telegram polling / token rotation。跑本地模型 isolated agents 的部署,升级前后都测 first-token 和整轮耗时,并和 direct provider call 对比。
2026-05-14 产品更新 关注

Hermes 开始从 Kanban 协作走向一个 gateway 承载多个具名 Agent

这个窗口里最像产品方向变化的 Hermes 更新是 PR #25008:single-gateway multi-agent MVP。它给 session source 和 session row 加 `agent_id`,引入 `AgentProfile` ContextVar,让 model、SOUL.md、memory、skills、session path 能随具名 Agent 切换;按 chat / thread / user / guild 做 first-match-wins 路由,并提供 plugin hook;同一套 profile switching 也接进 adapters、cron jobs、delivery targets、hooks 和新的 `hermes agent` CLI。旁边几个修复说明这类架构为什么需要认真打磨 runtime hygiene:#25344 在 Honcho memory context 注入前过滤 “Nothing to save” 这类 deriver 噪声;#25346 把 `{...}{...}` 这种串在一起的 streamed tool-call args 拆成多个调用;#25341 把 `hermes tools` all-platforms 菜单从约 14 秒降到 1.5 秒内,并避免反复消耗 Nous refresh token;#25334 让 localhost auxiliary clients 绕过系统代理;#25342 静音 background-review memory provider teardown 输出;#22648 继续推进 Ollama Cloud web backend。

值得注意: 不要把 multi-agent Hermes 当成简单开关。测试 #25008 时,至少创建两个 memory 和 skills 不同的 Agent,验证 message routing、cron ownership、delivery targets、hook `agent_id` 传递和 session-key migration。真实接频道前,也要回归 sparse Honcho sessions、streamed parallel tool calls、带系统代理的 localhost OpenAI-compatible endpoints,以及 tool-menu auth/cache 路径。
2026-05-14 风险提醒 风险

OpenClaw 最新信任边界报告,集中在工具、密钥、提示词泄漏和投递堵塞

beta.6 之后最有用的 OpenClaw 新内容不是 docs-only 改动,而是一组直接对应 operator incident 的 trust-boundary 报告。Issue #75124 指出,用户可调用的 `command-dispatch: tool` skill slash commands 会创建 raw OpenClaw tool set,只做 owner-only filtering,没有走 profiles、group / channel rules、sandbox state、subagent depth 的正常 effective policy pipeline。PR #75101 在一次生产事故后加入 `tools.exec.denyPathPatterns`:sub-agent 读取了 `~/.openclaw/secrets/telegram-trader.env`,两个 Telegram bot tokens 进入 session JSONL 和下一次 outbound LLM request。PR #75128 把 BOOT.md 包进 internal-runtime-context,并从 message-tool 参数里剥离,因为 fallback model 可能把启动指令回显给用户。Issue #75131 显示 Telegram 超长消息 retry 会生成新的 queue UUID,而不是 idempotent retry;永久 400 错误跨重启持续重试,导致 event-loop utilization 接近 0.996,归档 stuck items 后才降到 0.264。Issue #75134 报告原始 `[OpenClaw heartbeat poll]` prompt 出现在 Telegram DM;旁边 #75126 和 #75133 则补 strict tool-mode diagnostics 与 bundle activation metadata。

值得注意: 审计所有直接 dispatch 到 tool 的 skill slash command:它应该看到和当前 session 一致的 effective tools,而不是更宽的 raw set。给 secrets 目录加 path-level exec deny,不要只依赖 approval prompt。测试 fallback boot run 和 message-tool send 是否会漏 runtime context。Telegram operator 要在接近 4096 字符时预先拆分长消息,谨慎清理 stuck delivery items,并确认 heartbeat prompt 永远不会渲染到外部聊天里。
2026-05-14 风险提醒 关注

OpenClaw 新一组 operator 问题集中在出站 hooks、TTS、auth lock 和 fallback 可见性

beta.6 之后,最值得看的 OpenClaw 新内容是一组小但都在真实用户路径上的修复。PR #81680 让加密消息通道的 reply delivery 也调用其他 channel 已经使用的 `message_sending` plugin hook,content gate、audit hook、DLP filter 不再漏掉这些回复。PR #81681 把 TTS transformation 接到 `message(action=send)` tool send 路径,修复 `[[tts:text]]` 之前会被当普通文字发出去、而 final reply 正常的问题。PR #81679 backport Codex OAuth refresh spam 修复,并避免 quota / entitlement payload 被误判成需要重新登录。PR #81678 在记录的 owner process 已死亡时回收 stale auth-profile file locks。Issue #81664 要求主模型失败并 fallback 到次级模型时给用户或 hook 一个通知。Issue #81649 报告 2026.5.7 下 Anthropic agent harness 未注册,Windows、WSL2、Docker、native 安装都只加载 6/7 个预期 plugins。PR #81642 也落了第一版 bundled DingTalk channel core;#81303 则加 `session.maintenance.preserveKeys`,避免主 WebUI session 因短 retention 被清掉。

值得注意: 如果 OpenClaw 已接真实 channel,不要只测 final reply;要逐条回归 plugin `message_sending` hooks、tool 发消息、TTS directives、模型 fallback 行为和 auth-profile lock recovery。使用 Codex OAuth 或 Anthropic harness profile 的部署,要确认具体 build 是否包含这些 beta.6 之后的跟进修复。DingTalk 方面,把 #81642 当作 basic registration 与 text/media round-trip,不要当完整企业连接器。
2026-05-14 风险提醒 关注

Hermes 正在补无聊但关键的一层:备份、自杀命令防护、邮件和可插拔 Web 搜索

Hermes 这轮最值得看的跟进,不是炫 UI,而是 operational durability。Issues #25458 到 #25461 为 L Butler 定义了用 fake runtime data 做 encrypted backup dry-run、对 ledger / memory 做 isolated restore drill、由人决定 backup destination 和 recovery-key ownership,以及让 assistant status check 能说明 backup / restore proof 是 fresh、stale、failed、missing 还是 unverified,同时不暴露路径或私密内容。安全线索还由 issue #5528 和已关闭 bug #3397 加强:一个 Telegram gateway agent 曾经误判自身健康后运行 `pkill -f "cli.py --gateway"`,从内部杀掉 gateway;Hermes 现在有明确需求,要支持 configurable approval-locked command patterns,让部署方能把本地重启、杀进程这类对特定环境有破坏性的命令纳入人工批准。附近 PR 也在补 channel / runtime hygiene:#25446 修 heartbeat 在 activity field 为空时 TypeError,并限制 blocked Kanban child 的重复提醒;#25441 增加 multipart/alternative HTML email response;#25448 把 7 个 web-search providers 迁到 plugin registry;#25457 允许 plugin 注入 hidden CLI message,避免终端聊天噪声;#25348 增加 getxapi skill,覆盖 endpoints、cost、posting workflow 和 secret-safety notes。

值得注意: always-on Hermes 部署应先补 recoverability,再加更多 channel:跑 encrypted backup dry-run,在 isolated directory 证明可 restore,决定 recovery key 归属,并把状态接入日常 assistant check。对会 restart / kill gateway 的部署特定命令加 approval lock。随后再测试 heartbeat 行为、HTML email rendering、plugin web backends,以及所有第三方 X/Twitter workflow;先用一次性凭据。
2026-05-14 风险提醒 风险

OpenClaw 5月14日这组问题提醒:多频道 Agent 最容易坏在接缝处

OpenClaw 最新 issues / PRs 不是一个大功能,而是一组决定个人 Agent 能不能放心常驻的接缝问题。Issue #81484 报告 2026.5.7 的 Discord guild 回归:服务器频道 prompt 可能永久 typing、发出缺少 message payload 的 malformed send、重复回复,甚至进入 outbound loop 直到重启 gateway。Issue #81480 说 `gateway.tailscale.mode: off` 没有真正关闭轮询,仍大约每 3 秒执行一次 `sudo tailscale serve`,一天约 43,000 次 sudo。Issue #81472 汇总了拆分 worker / coordinator 角色 Agent 时连续撞到的 5 个 config gap:per-agent bootstrap 字段能通过校验但运行时无效,channel groupPolicy / dmPolicy 在 schema、runtime、patch CLI 之间不一致。旁边几个修复也指向同一类边界:#81479 把 resolved Gateway auth 注入 isolated Codex app-server subprocess;#81477 让 message actions 使用 resolved SecretRef runtime snapshot;#81488 加固 node exec approval precheck,避免 gateway 本机 PATH 影响 node-host 决策;#81486 清理 Telegram progress drafts 后再发 final reply;#81482 让 ACPX one-shot client 活到 initial turn 真正完成。

值得注意: 如果你用 OpenClaw 跑 Discord guild、Tailscale 暴露的 gateway、isolated Codex cron jobs 或 per-role agent 配置,把这条当成回归测试清单。确认一个 guild inbound 只产生一个 final reply;确认 `mode: off` 真的停止 Tailscale polling;对 per-agent config patch 先 dry-run 再验证 runtime;使用 SecretRef-backed Gateway auth 的 isolated subprocess 要先实测再交给定时任务。
2026-05-14 风险提醒 风险

Hermes 正在补 profiles、skills、voice sessions 这些会悄悄改坏行为的边界

Hermes 最新一组活动很适合所有依赖 profiles 和 skills 的用户看,而不是只跑一个默认 Agent。PR #25150 修复了一个破坏性的 profile install/update 路径:`_copy_dist_payload` 用 `rmtree` + `copytree` 复制目录,即使已有 distribution-owned manifest,更新 distribution 也可能删掉用户本地安装的 skills。Issue #25113 与 PR #25143 是 skill hygiene 的另一面:`.bak-*` 和 backup 目录可能被当成真实 skill 发现,导致 stale v2 backup 先于 live v3 skill 被加载。PR #25151 给 subprocess 注入 `HERMES_REAL_HOME`,因为 profile isolation 会故意改写 `HOME`,但需要真实 `~/.hermes` 路径的 helper 会误解析到 isolated profile home。PR #25142 修 voice-input 的污染路径:STT 配置失败文案被注入 LLM-visible prompt 并持久化进历史,导致后续语音转写已经成功时,模型仍不断回复 STT setup。边缘还有 #25132 用 allowed topics 限制 Telegram profile bots,#25149 移除非用户编写 subprocess 调用里的不必要 `shell=True`,#25144 给 KeyboardInterrupt cleanup regression 加 CI detector。

值得注意: 更新 Hermes profiles 前,先备份本地 skills,并验证 update path 会保留非 distribution 文件。扫描 skill folders 里的 `.bak-*`、`.backup-*` 和 backup 目录,确认 loader 选择的是 live skill。如果启用了 profile isolation,helper scripts 需要在寻找真实 Hermes base 时使用 `HERMES_REAL_HOME`。语音部署要专门测试:同一个 session 里先制造一次 STT failure,再恢复成功 transcription;模型应回答用户问题,而不是继续聊 STT setup。
2026-05-13 风险提醒 风险

OpenClaw beta 线暴露频道 Agent 的硬问题:session key、静默发送与上下文边界

OpenClaw v2026.5.12-beta.3 是一个官方 beta,里面有不少有价值修复:subagent sessions 在选择器里显示父子嵌套、减少 subagent 完成后的冗余 heartbeat wake-ups、provider streams 不再因为分块 SSE / JSON fallback 卡住、memory-wiki 路径加 admin / write gates,以及 OpenAI auth-profile 下 image_generate 等 media tools 可用。更值得读者立即注意的是围绕它出现的新现场报告:issue #81234 称 beta.3 cron jobs 会在 turn-accepted 后 timeout,且 stale cron sessionKey 可能占住 Discord DM lane;issue #81240 报告 Slack session 中模型已经生成完整回复,但没有真正 post 到 Slack;issue #81241 报告 Telegram runtime-context envelope 被追加进用户消息正文,同时又以 out-of-band 形式存在;PR #81242 则修 isolated subagent spawn 仍准备继承上下文,导致 Ollama 这类本地推理 runtime CPU 飙升和推理停滞。

值得注意: 如果你把 OpenClaw 用在 Discord、Slack、Telegram、cron 或本地 subagent 工作流里,先把 beta.3 当 staging-only 升级:验证 sessionKey isolation、真实 outbound send、Telegram transcript shape,以及 isolated subagent 的 CPU 行为。Discord 工作流还可以关注 PR #81243:按 message ID 或 URL 精确 fetch 单条消息的能力正在补上,合并发布后会减少“链接我看不到,请复制内容”的失败体验。
2026-05-13 风险提醒 风险

Hermes 的 LSP 诊断很有用,但默认策略需要一次操作者安全打磨

Hermes 新的 LSP edit diagnostics 正从功能点快速变成运维面。新 issue #25015 指出,当前 LSP 子系统默认 enabled,且 `install_strategy: auto`,这意味着在 git repo 里第一次编辑 Python、Go、Rust 或 TypeScript 文件时,可能静默把 language server 安装到 Hermes home。Issue #25017 补上供应链角度:部分 install recipes 使用移动的 `@latest`,例如 `golang.org/x/tools/gopls@latest`,这对审计环境和可复现部署并不友好。Issue #25016 则是资源问题:LSP manager 虽然定义了 600 秒 idle timeout,但没有 reaper,长时间运行的 gateway 可能一直保留 pyright、gopls、tsserver、rust-analyzer 等进程,每个语言 / workspace 大约占 80-300+ MB。PR #25021 补上 idle-subprocess reaper;PR #25011 则批量带回两个小修复:`hermes lsp` 跳过插件发现更快启动,以及 diagnostics 中嵌套 `error` key 时不再把成功的 write_file / patch 误判失败。

值得注意: 如果你要启用 Hermes LSP diagnostics,在共享或审计环境里先把安装策略说清楚。优先使用 pin 住版本的 language servers,确认 auto-install 是否符合合规要求,并观察跨多个 repo 编辑后的 gateway 内存。如果已经采用该功能,等 idle reaper 落地后专门测试回收路径,同时复查带 diagnostics 的 write_file / patch 成功判定。
2026-05-13 风险提醒 风险

OpenClaw 最新一组频道问题,核心是回复发到哪、何时保持沉默、重启后留下什么

OpenClaw 当前窗口的新 issues / PRs 又集中到 always-on Agent 的 delivery boundary。Issue #81413 报告 Google Chat 群消息可能没有生成正确 group session key,而是落进 main session key,导致回复发到用户最近活跃的频道,例如 WhatsApp,而不是原始 Google Chat group。Issue #81411 说 cron 生成的 Telegram 消息会把 Markdown link 渲染成裸 HTML;同时长时间 cron job 的完成与投递语义还不够清楚。Issue #81412 与 PR #81420 则是 quiet-reply 边界:当模型在 `NO_REPLY` 周围加解释文字或 thinking blocks 时,当前 exact-match 逻辑可能只去掉 token,或直接漏过 suppression path,导致本该安静的文本 / reasoning 出现在聊天里。旁边两个 PR 也值得操作者看:#81418 给 MCP channel-server 加 parent-PID watchdog,避免 gateway 被杀后留下 orphan worker 并在下次升级 handshake 时出错;#81417 让 memory flush threshold 随大 context window 缩放,避免长 session 到 compaction 时仍没有持久化内容。

值得注意: 如果你把 OpenClaw 跑在多个消息频道里,用真实 Google Chat group IDs、WhatsApp sessions 和 Telegram cron jobs 做交叉测试,不要只测 direct messages。对 cron 和群聊 ambient workflows,要验证模型附带 reasoning 文本时,安静回复仍然保持安静。gateway 升级或 crash 后检查是否有 stale MCP channel-server processes。如果你使用 1M-token 模型,复查 memory flush thresholds,不要继续依赖旧的 4,000-token 默认值。
2026-05-13 风险提醒 风险

Hermes 修了一个细但很重的安全规则:沉默不是同意

Hermes PR #24923 修的是一个所有涉及不可逆操作的 Agent 都该关心的 clarify-tool timeout 行为。过去 CLI callback 在用户超时未回复时,会把一句 “Use your best judgement to make the choice and proceed” 返回给模型。对于权限确认类问题,这可能被模型理解成允许执行,PR 里直接点名了 `rm -rf .git` 这类破坏性操作。修复把 timeout 文案改成明确拒绝,并在 tool description 里提前告诉模型:超时不是授权。同期 Hermes 还在补几条运维边界:#24925 让 session_search 只加载 FTS 命中附近窗口,而不是先读完整 800+ 消息会话;#24927 追踪写文件成功但因 diagnostics 里有 error 字样而被误判失败的问题;#24928 在 Windows terminal subprocess 前清理继承的 Python 路径;#24930 修 root / AppArmor 受限环境下 browser 启动 flags 被忽略的问题。

值得注意: 如果你的 Hermes 工作流会向用户请求确认,单独测试 clarify timeout:用户不回答时,应阻止破坏性或不可逆操作,而不是变成默认同意。同时,如果日常用到大 session 搜索、带 diagnostics 的文件写入、Windows terminal 或 browser automation,也应测试这些路径。
2026-05-13 风险提醒 关注

OpenClaw 正把群聊上下文和用户请求分开,同时收紧插件与 skill 安装路径

v2026.5.12-beta.4 之后,OpenClaw 最新一批更值得看的不是炫技功能,而是 always-on Agent 的边界清理。PR #81317 增加 room-event semantics,让 Telegram 群里的 ambient chatter 可以作为上下文保留,但不再被当成假的用户请求。PR 描述这些 turn 默认保持安静,不发 ack/status reactions 或 reasoning drafts,只有 Agent 明确调用 message tool 才会说话;作者还给出真实 Telegram bot-to-bot E2E,覆盖 tagged control、ambient no-leak、tool-send、carry-forward context。同期 PR #81365 让 configured agent 第一次发送前走正常 sessions.create 初始化;#81364 重新加上 ClawHub exact-release trust checks;#81362 防止一个坏 workspace skill 目录把所有 connected nodes 的 remote-bin refresh 打断;#81361 提高大型 Codex dependency tree 的 plugin install scan limit;已关闭 issue #80888 则记录 cron pre-model watchdog 曾因 Pi / CLI runners 不发 model_call_started,把超过 60 秒的活跃 isolated job 杀掉。

值得注意: 如果你把 OpenClaw 放在活跃 Telegram 群里,重点测试 ambient chatter:它应当补充房间上下文,但不能造成误回复或隐性 tool use。如果你安装 ClawHub plugins 或 workspace skills,关注 trust checks、scan limits、坏目录处理是否符合你的风险偏好。Cron 用户应验证长时间 isolated jobs 在当前安装版本里能否安全超过旧的 60 秒 watchdog 路径。
2026-05-13 产品更新 关注

OpenClaw 2026.5.12-beta.4 把这条 beta 线推进到运行时与频道可靠性修复

OpenClaw v2026.5.12-beta.4 是 2026.5.12 线最新的官方 beta。它延续 beta.1 的 identity-aware 安全主线,包括 per-sender tool policies,以及 memory/wiki 的 admin / write gates,但这次更有实际价值的部分已经转向 runtime 与频道可靠性:修复官方 @openclaw/codex 包调用私有 task-runtime SDK helper 时的 MODULE_NOT_FOUND;Codex migration 中 Enter 可以激活高亮 checkbox row;OpenAI auth 放在 agent auth-profile store 而不是环境变量时,image_generate 等 media tools 仍然可用;WhatsApp / source installs 在 pnpm 11 下允许 Baileys pinned libsignal git dependency。它还带来一大组 Slack、Telegram、WhatsApp、iMessage、Gateway、provider、plugin 与 transcript 修复:OpenAI-compatible HTTP 会转发 max_completion_tokens / max_tokens,gateway shutdown 或 restart 会触发 plugin session_end,Telegram topic / reply context 更受边界约束,长 session transcript scan 改为 streaming helpers,release notes 给出的 200 MiB 合成 transcript 测试中 peak RSS delta 从约 252 MiB 降到 27 MiB。

值得注意: 如果你已经在测试 2026.5.12 beta 线,beta.4 比 beta.1 或 beta.3 更值得作为 staging target。升级前重新测试 Codex migration、Codex app-server auth/media tools、WhatsApp 安装、memory/wiki 权限、Slack 与 Telegram 真实发送、plugin shutdown/restart cleanup,以及大 session transcript 行为。如果你运行公开或团队频道 Agent,也要用真实频道身份验证 per-sender tool policies,而不是默认相信新控制已经保护了危险工具。
2026-05-13 风险提醒 风险

Hermes Kanban 还需要一轮可靠性打磨,团队才能把 worker 当可靠同事用

Hermes v0.13.0 把 Kanban 做成主打的 durable multi-agent layer,但新 issue #24699 报告的正是操作者最担心的交接问题:Kanban task 暂停后,补充信息再执行时,worker 可能丢失前文并从头开始;如果任务需要 main agent 或用户确认,subagent 可能在等待期间反复 timeout 和 retry。PR #24693 补了一个相关 setup 问题:hermes profile create 过去创建的新 profile 只有 hermes-cli,分配给 Kanban worker 后没有 web、browser、terminal、file toolsets,任务会静默降级或因工具不可用崩掉。同一批可靠性问题还包括 issue #24701:/new 在危险命令确认处卡住并重复旧任务;issue #24698:latest Docker image 缺少 python-telegram-bot,Telegram gateway 启不来;以及 issue/PR #24697/#24700:auxiliary vision analysis 不带 SOUL.md,图片分析失去当前 persona / 专业视角。

值得注意: 如果你正在用 Hermes Kanban 做真实委派,不要默认恢复后的卡片仍带着足够上下文。先测试 suspend/resume、ask-user handoff、retry behavior 和 worker profile toolsets,再交给生产任务。Docker 部署 Telegram 的用户应从干净 image 验证 gateway startup。依赖图片分析的团队要测试 auxiliary vision description 是否尊重你配置的 persona 或领域视角。
2026-05-12 风险提醒 风险

Hermes 又暴露一个最后一公里边界问题:system notices 与后台记忆都需要 tenant-aware gates

Hermes PR #24365 指出,WhatsApp 和 Discord gateway 并没有完整执行 suppress_system_messages,所以面向客户的部署仍可能发出操作者本来想隐藏的内部平台提示,例如 “No home channel is set”、 “Session reset”、dangerous-command approval prompts,以及 assistant narration。PR #24392 则修另一个 profile-home isolation 问题:WebUI 在非默认 profile 下完成一轮对话后,后台 memory / skill review 线程可能等到进程级 HERMES_HOME 被恢复后才初始化,于是加载 default profile 的 config,甚至把 memory 写到 default profile,而不是 parent run profile。PR #24376 较小但同属运维边界:CLI 遇到危险命令 approval prompt 时,可以复用已有 bell / dock-bounce 提醒,让人真的注意到高风险动作正在等待审批。

值得注意: 如果你用 Hermes 跑面向客户的 WhatsApp 或 Discord,先用真实的 reset、config-warning、dangerous-command flows 验证 suppress_system_messages,再把它用于客户频道。如果你有多个 WebUI profiles 或类似 tenant 的 Hermes homes,要专门测试非默认 profile 下 post-turn background review 的写入位置。CLI 本地操作者如果依赖危险命令审批提醒,建议开启 bell_on_complete。
2026-05-12 风险提醒 风险

OpenClaw beta 操作者该把恢复代码也当成需要限流的运维面了

OpenClaw issue #80960 报告了一个很具体的现场问题:某个 stuck session 触发 session-file repair 反复写入完整 .bak snapshot,约 25 小时内在 ~/.openclaw/agents/operations/sessions/ 下产生 2,180 个备份文件,累计约 2.1 GB。同一批新可靠性问题还包括:PR #80961 在 agents.defaults.model 用字符串配置、从而静默关闭 model fallbacks 时给出 warning;issue #80877 中 Anthropic Max OAuth 用户被错误提示“top up your API key”,但实际上没有 API key,gateway 稍后会通过 OAuth sync 恢复;PR #80952 让 Telegram plugin commands 在已自行通过 Bot API 发出回复后,可以 suppress 掉重复的 “No response generated” fallback。

值得注意: 如果你在跑 OpenClaw 2026.5.10 beta,先检查 session directories 里是否有重复 .jsonl.bak 文件,尤其是已经结束但仍被 spawn 或 compaction 路径触碰的 session。model config 尽量使用带 explicit fallbacks 的 object 形式;审计 OAuth 用户会看到的 provider-error 文案;如果有 Telegram plugin commands 自己调用 Bot API 发消息,也要测试是否还会出现重复 fallback 回复。
2026-05-12 产品更新 关注

Hermes 开始让文件编辑拿到真实 language-server 反馈,别等坏代码堆起来

Hermes PR #24168 在 write_file 和 patch 背后加入 LSP layer,让 Agent 能看到自己这次编辑引入的 semantic diagnostics:type errors、undefined names、missing imports,以及 pyright、gopls、rust-analyzer、typescript-language-server、clangd、bash-language-server、Vue、Svelte、Astro、Lua、PHP、OCaml、Dockerfile、Terraform、Dart、Haskell、Julia、Clojure、Nix、Zig、Gleam、Elixir、Prisma、Kotlin、Java 等 language servers 给出的类似失败。设计上会先抓 pre-write baseline,再过滤掉旧问题,避免模型被项目原有技术债淹没。它还只在 git workspace 内启用,避免 Telegram / Discord 里以 home directory 为 cwd 的闲聊意外唤起 language servers。

值得注意: 如果你用 Hermes 做 coding work,先拿一个真实且有些混乱的 repo、一个干净小 repo 测这个 PR,再把它当默认能力。重点看 diagnostics 是否只显示新引入问题,language-server install policy 是否适合你的环境,以及非 git workspace 的 gateway sessions 是否保持安静。团队使用时,建议提前定义 shared runners 上哪些 language servers 可信且预装。
2026-05-12 产品更新 关注

OpenClaw beta 5 把 5 月 12 日升级扩展到频道与运行时恢复

OpenClaw v2026.5.10-beta.5 取代 beta.4,成为当前 prerelease。对操作者更有价值的是覆盖面:Fal image edit 会把 GPT Image 2 和 Nano Banana 2 的 reference-image requests 走 edit endpoint,并处理 aspect-ratio、resolution 与更高 input-image caps;Control UI 在 app module 没注册时会显示 plain recovery panel,而不是空白 dashboard;agent-to-agent reply chain 可配置到 20 turns,但默认仍保持保守;public / sandboxed agents 继续通过 per-agent message send / cross-context restrictions 收边界;timed-out Codex app-server clients 会被退休,避免 Discord agents 复用 CPU-spinning process;Slack、Telegram、WhatsApp、Cron、Gateway、provider、memory 与 transcript 修复则延续 beta.4 的可靠性主线。

值得注意: 把 beta.5 当作已经在测 beta.4 团队的 staging candidate,不要盲目上生产。重点压测 image edit flows、空白 Control UI recovery、Slack thread / DM routing、public-agent message permissions、较长 agent-to-agent loops、Discord timeout recovery、长 transcript lookup,以及一条 Cron notification path。如果你运行多个带不同 GitHub 或云凭据的 Agent,仍要跟踪 issue #80698:per-agent environment scoping 并未在 beta.5 release notes 里解决。
2026-05-12 产品更新 关注

Hermes 开始把 computer-use 包成可持久运行时,而不是一次性浏览器技巧

Hermes PR #24065 新增 persistent Computer runtime,用 run.json、events.jsonl、artifact directories 记录生命周期,并提供 computer tool 的 start、schedule、list、get、events、cancel 动作。同一批新工作之所以值得看,是因为它在补 computer-use 真正无人值守时的枯燥失败点:PR #24045 会把遇到 429 / 529 rate limit 的用户消息存入 dead-letter queue,并提供 /queued retry;PR #24064 避免 headed browser sessions 在每轮回复后被杀掉;PR #24071 收紧 hardline approval,对带引号的灾难性 rm targets(例如 "/"、"/var"、"$HOME" 路径)也会拦截。Issue #24067 还说明 gateway 侧仍有 macOS restart hygiene 问题:崩溃后 stale PID lock 可能让 Telegram、Feishu、WeChat 看起来已被占用。

值得注意: 如果你正在测试 Hermes 的 computer-use 或可观看桌面工作流,把这些当作 prerelease integration checklist。先验证 lifecycle files、cancellation、artifact cleanup、browser persistence、rate-limit replay,以及带引号 shell paths 的 approval blocking,再委派长任务。macOS gateway 还要做 crash-and-restart 测试,避免 stale PID lock 让消息平台静默断开。
2026-05-11 风险提醒 风险

OpenClaw issue 暴露频道输出中的内部 planning 文本泄漏

OpenClaw issue #80578 报告了一个高优先级隐私 / 安全回归:一条发给用户的 iMessage 回复,在真正要发出的正文前,先露出了一段内部 planning 文本。该 issue 明确建议不要把它只当 iMessage bug,而应视为 shared output boundary 问题:如果最终发送层把 hidden planning、draft rationale 或 self-instructions 当普通文本送出,同类泄漏可能出现在任何频道 adapter。

值得注意: 如果你在跑 proactive / coach-style channel agents,建议先暂停敏感的自动外发,直到 final delivery boundary 完成审计。至少加一层频道侧硬 sanitizer,回归测试 iMessage 和另一个 adapter,并检查最近外发消息是否出现 planning 风格前缀,再恢复无人值守发送。
2026-05-11 风险提醒 关注

Hermes 正在打开远程管理面,同时收紧可执行边界

Hermes PR #23742 新增一组 authenticated remote management endpoints,覆盖 sessions、profiles、SOUL / persona files、memory、toolsets、skills 和 gateway status,让 desktop / dashboard clients 不必靠 filesystem 或 SSH 也能管理 Agent。同一批当前工作里,PR #22535 修掉了更危险的 ACP 边界:过去 ACP clients 可以在 new / load / resume / fork session setup 时传入 stdio MCP server definitions,而这些 definitions 里的本地命令可能在正常 agent turn 或 dangerous-command approval path 之前就被启动。修复方向是默认禁用 client-provided stdio MCP servers,同时保留 HTTP / SSE MCP servers,并提供 explicit trusted-operator opt-in。PR #23740 还把 clarify tool 接到 messaging platforms,说明 Hermes 的远程和频道运行正在变得更可交互,而不只是 headless API。

值得注意: 在把 Hermes API server 暴露到 localhost 之外前,把它当成 remote-admin security review。逐项验证 management endpoints 的 auth enforcement,检查 skill-content path safety;除非 ACP client 明确可信,否则保持 stdio MCP registration 禁用;重点测试 resume / fork flows,因为可执行配置很容易从这些路径滑进去。如果你通过 Feishu、Telegram、Discord 或 dashboard 跑 Hermes,也要用真人流程测试 clarify prompts 与 cancellation paths。
2026-05-11 风险提醒 风险

OpenClaw 最新风险不在模型能力,而在会话卫生

OpenClaw beta 后最值得看的不是单个功能,而是一组 session integrity 报告。Issue #48241 说,当同一会话里用户快速连续发消息时,运行会被 abort,但系统仍可能写入一条 assistant 回复,内容来自无关的 stale buffer;日志里的 token count 与可见文本长度也对不上。PR #48283 的修复方向是丢弃 aborted assistant messages,而不是把它们发给用户。另一条 compaction 线指出,长期会话接近 94% context 时可能堆积 tool-failure loops、stale reminders 和弱用户目标跟踪;PR #48350 新增 post-compaction validator,用来检查目标保留、待办保留、stale system promotion、failure collapse 和是否应建议 reset。相邻两个需求也指向同一问题:thread 里的图片需要 timestamp / position metadata,避免旧截图压过用户的新文字;secure chat mode 则让敏感会话能选择不写 transcript、summary 和 memory。

值得注意: 如果你在 Telegram、Discord、Slack 或长期浏览器会话里运行 OpenClaw,要把 rapid-fire messages、abort / retry flows 和接近满上下文的 transcript 当成运维测试点。重点观察那些“看起来流畅但和上下文无关”的回复,对比 visible output 与 token / log metadata;遇到污染会话时优先 backup + reset,而不是反复 compaction;敏感工作流则等 ephemeral session 行为明确后再放进去。基于 OpenClaw 开发的人,应该补 aborted streams、post-compaction state retention 和 thread image recency 的回归测试。
2026-05-10 风险提醒 风险

Mercury 的命令权限边界可被串联 shell 命令绕过

Mercury PR #46 虽然改动不大,但对依赖权限模型的用户很紧急。报告指出,shell permission gate 会把 blocked、auto-approved、needs-approval 规则匹配到整条命令字符串,而不是逐段检查 shell segment。结果是,看起来安全的 `echo *` 或 `ls` 可能让后面追加的 `; rm -rf ~`、`&& cat /etc/shadow`、管道执行 `sh` 或 command substitution 一起通过。PR 将它标为 critical CWE-78,因为它绕过的正是 permission-hardened personal agent 最核心的安全边界。

值得注意: 在修复进入正式 Mercury release 并验证前,不要把 shell auto-approval 当作无人值守安全边界。建议关闭宽泛的 shell 自动批准规则,要求手动审批 shell 执行,检查 daemon logs 里是否有串联命令,并避免让 Mercury 运行在能访问 secrets 或大范围文件系统权限的账号下。评估常驻 Telegram / CLI Agent 的团队,也应该把 chained-command 测试加入安全检查表。
2026-05-10 产品更新 关注

OpenClaw 2026.5.9 beta 预告下一轮 Agent runtime 扩张

OpenClaw v2026.5.9-beta.1 是这轮最值得跟踪的新生态更新:重点不是所有团队都该马上升级,而是它预告了 runtime 的方向。发布内容包括 `/think default`、`/fast default` 这类默认值重置命令,更清晰的 CLI / startup / config / channel / MCP 错误恢复提示,agent prompt 中注入当前 provider / model 身份,统一 text / image / video / music provider catalog,一个用于受控 `oc://` 文件访问的 bundled `oc-path` plugin,更完整的 plugin SDK presentation 与 channel-message contracts,以及大规模 Discord voice / realtime 推进。运维侧也加入 shared Telegram throttling、Docker `tini` 子进程回收、task-ledger RPC 稳定化、Active Memory allowlists、durable message receipts、fs-safe 输出 staging,以及大量 gateway / session 性能修复。

值得注意: 把它当作 staging candidate,而不是生产环境盲升版本。如果你依赖 OpenClaw channels 或 plugins,应该用真实配置测试 plugin install / repair、Telegram / Discord delivery、model switching、Codex / OpenAI runtime paths 和 gateway restart behavior。还要注意 breaking change:BlueBubbles-backed iMessage 被移除,需要迁移到基于 `imsg` 或 remote-Mac wrapper 的 native `channels.imessage` 路径。
2026-05-10 产品更新 关注

Hermes 开始给失控 subagent 加硬边界

Hermes PR #22820 把一个常见的多 Agent 失败模式变成了明确控制项。报告描述了一个 delegated subagent 偏离任务范围:运行 175 秒、上下文从约 33K 膨胀到 72K+ tokens、发起 10+ 次 API 调用,最后只能手动中断。拟议修复加入最大 child context、输出/输入增长比例、wall-clock timeout 三类配置,一旦越界就把 child 标记为 `resource_limit_exceeded`。PR #22944 处理另一个相邻可靠性问题:反复 context re-compression 后,agent 的 `## Active Task` 字段可能被 `[N/A]`、过期任务或幻觉内容覆盖。

值得注意: 如果你在跑 Hermes delegation 或 Kanban-style agents,先关注这些 PR 再扩大自治范围。建议设置自己的 subagent timeout、context-growth ratio 和最大 token budget;记录 `resource_warnings`;并把“压缩后 active task 仍被保留”加入回归测试。新的 DAG TaskGraph / delegate bridge 更像路线图,等它和同等级 guardrails 一起经过实战验证后再重度依赖。
2026-05-10 产品更新 关注

OpenClaw 开始补齐 Agent 运维里的“到底发生了什么”

5 月 10 日这组 OpenClaw PR 没有 beta release 那么显眼,但对把 Agent 接入真实渠道的团队很实用。PR #80151 给 `openclaw agent --json --deliver` 增加结构化投递结果:`sent`、`suppressed`、`partial_failed`、`failed`,在 durable delivery 能提供时还包含逐 payload 结果。PR #80217 让 Codex-native tools 进入 diagnostic watchdog 视野,长时间运行的 native bash 或 scraper 不会被误判成废弃的 embedded run。PR #80251 修复 session reset:生成新 session id 时也会轮换 generated transcript 文件,并清掉旧 compaction checkpoints。PR #80250 则在 channel-routed agent 缺少 `message` tool 时给 doctor warning,避免把工具策略问题误说成平台能力限制。

值得注意: 如果你用 OpenClaw 做自动化投递,应该准备消费 `deliveryStatus`,不要继续靠解析 stderr 或粗粒度 boolean 判断结果。在 staging 里测试部分渠道失败、hook-suppressed sends、长时间 Codex-native commands,以及重对话上的 `sessions.reset`。渠道绑定 Agent 改过 tool policy 后,也要跑 doctor,尤其是 Telegram、Discord、Feishu、Mattermost 这类通过精简 allowlist 路由的 Agent。
2026-05-09 风险提醒 风险

Hermes debug share 上传前需要先过隐私检查

最新 Hermes 里最值得广泛提醒的,是诊断分享的隐私边界。Issue #22016 指出,`hermes debug share` 生成的日志可能包含 prompt 片段、用户名、tool output 和其他个人数据;如果用户把这些报告链接贴到公开 issue,就会被公共 paste URL 暴露。PR #22139 的修复方向是:上传前必须显式确认 `Upload debug report? [y/N]`,自动化场景仍可用 `--yes`,但默认答案变成“No”。

值得注意: 在包含确认机制的 release 出来前,不要盲目运行或粘贴 `hermes debug share` 输出。先本地检查日志,删掉对话内容、工具输出、路径和个人信息;敏感诊断优先走私有支持渠道。团队也应更新 bug report 模板,避免鼓励用户贴原始 debug 链接。
2026-05-09 产品更新 关注

多人共享 Agent,需要可搜索工具和用户级权限边界

5 月 9 日这组新变化说明,OpenClaw 和 Hermes 都在走出“单用户 demo”的形态。OpenClaw PR #79823 加入 Tool Search Code Mode:不再把所有 OpenClaw、MCP 和 client tools 的 schema 一次性塞进 prompt,而是让模型通过一个紧凑 bridge 搜索、查看并调用工具,同时保留既有 policy、approvals、logging 和 loop detection。Hermes PR #22509 则把 shared-agent 问题放进 Discord:Daimon 让 admins 使用 host-level Hermes,普通 users 使用 Docker sandboxed agent,并加 iteration caps、per-tool limits、tier-aware routing 和 admin controls。Hermes RFC #21574 给出了背后的真实故事:多用户 gateway 很快就需要 per-user memory、identity 和 permissions,否则一个人的 prompt injection 或记忆污染会影响另一个人的 Agent。配套的 toolset 回归 #22601 / PR #22608 也给出运维提醒:启用可选集成时,不能意外丢掉 terminal、file、web、browser、vision、skills、delegation、cron、memory 等核心工具。

值得注意: 如果你准备把 Agent 暴露给队友、朋友、Discord 成员或客户渠道,不要把“更多工具”和“更多用户”当作简单开关。先在 staging 里验证 tool-search mode 的审计日志和审批路径,区分 admin / user tiers,把不可信执行放进 sandbox,并在启用可选 integration 后回归测试 toolset。Hermes 侧重点看 Daimon 和 per-user isolation RFC;OpenClaw 侧重点看 Tool Search Code Mode 在大工具目录下是否仍保留 policy 与可观测性。
2026-05-09 风险提醒 风险

OpenClaw 和 Hermes 正在补强常驻 Agent 的边界问题

5 月 9 日最值得看的新变化,不是单个孤立 bug,而是一组围绕“常驻 Agent 边界”的修补:聊天、浏览器和长会话都在收紧。OpenClaw PR #79645 把 transcript redaction 集中在 append 写入路径;#79649 降低 Telegram 旧回复链被误当成当前对话的风险;#79658 只在完成验证后允许本地 TXT / JSON / YAML 文档发送;#79562 处理 Discord 队列 backpressure、transcript/session-store 读取瓶颈等问题。Hermes PR #22280 则补强 Telegram model picker callback 授权、Chrome DevTools Protocol override endpoint 的安全校验,以及 `/health/detailed` 在配置 API key 时的鉴权。Hermes PR #22261 修复 parallel tool responses 在 Gemini fallback 中拆成多轮后触发 HTTP 400 的问题。

值得注意: 如果你在 Telegram、Discord、browser automation 或 API server 模式下跑常驻 Agent,把这组变化当作 staging checklist:逐项验证 transcript 脱敏、callback 授权、topic / reply context、media-send 校验、队列 backpressure 和 health endpoint 暴露面。不要因为 demo 能跑,就默认它适合进入共享工作区。
2026-05-09 风险提醒 风险

Hermes Kanban 长跑前,需要先补进度与资源护栏

Hermes 最新值得操作者关注的痛点,不是一条 release note,而是两条关于 autonomous coding 控制回路的现场报告。Issue #22397 说,CLI agent 接到明确 Kanban 任务后,可能 30 分钟到 2 小时以上都在 read / grep / read 式检查中循环,没有 edit、test 或交付物。Issue #22406 则是相反方向的失败:当 agent 终于进入 build,CPU 可能持续 100%,让 macOS 主机不可用。PR #22467 是相关的安全基础设施:为 background skill evolution 加 pending queue,把拟议 skill 改动隔离起来,做 dedupe、容量上限、冲突检测,并避免 `.pending/` 被当作 active skills 枚举出来。

值得注意: 在确认你的环境有进度限制和资源限制之前,把 Hermes Kanban 长任务当作需要监督的任务跑。给 agent 加明确的 max-read / no-progress 干预规则,限制 build 并行度或放进受限 sandbox;background skill 变更也应先 review,不要静默落到 active skills。若你在测试 main,重点关注是否出现“长时间只读就强制行动、升级求助或取消”的修复。
2026-05-09 风险提醒 风险

Telegram Bot API 10.0 可能把 Agent 回复挤出私聊话题

Telegram Bot API 10.0 的新回归,已经不只是一个渠道小 bug,而是值得操作者关注的风险。报告显示,原本可用的 private chat topic 回复,在使用 message_thread_id 发送时开始返回 “Bad Request: message thread not found”。Hermes 随后会去掉 thread id 重试,结果回复可能落到 bot 的主 “All Messages” 私聊里,而不是原来的 topic。tdlib 上游 issue 也显示:入站消息仍带 topic id,但出站 sendMessage 给同一个 id 会失败;private bot topics 可能需要改用 direct_messages_topic_id。

值得注意: 如果你的 Agent 依赖 Telegram threaded / private-topic mode,今天先做一次真实回复测试再放心使用。更稳的修复方向是:把 private chat topics 和 forum / supergroup threads 分开处理,在支持时尝试 direct_messages_topic_id,并且在 topic 隔离很重要时不要静默 fallback 到主私聊。
2026-05-08 产品更新 关注

Hermes v0.13 把 Kanban 推成耐久执行主线

Hermes Agent v0.13.0 “The Tenacity Release” 不像普通补丁:它把 Kanban 明确推成 durable multi-agent board,加入 heartbeat、reclaim、zombie detection、incomplete exit 自动 block、per-task retry 和 hallucination recovery。这个版本还加入跨轮目标锁定的 /goal、Checkpoints v2 pruning、Gateway 重启后 auto-resume、cron no_agent watchdog、Google Chat 作为第 20 个平台、pluggable providers、7 个 i18n locale,以及默认开启 redaction 等安全默认值变化。

值得注意: 如果 Hermes 已经在你的运行栈里,v0.13 值得列为升级候选,但不要盲目自动升级。先在 staging workspace 测 Kanban recovery、checkpoint pruning、Gateway restart auto-resume、cron watchdog,以及各 channel auth 默认值,再迁移常驻 Agent。
2026-05-08 产品更新 关注

OpenClaw 2026.5.7 是一次操作者安全维护版

OpenClaw 2026.5.7 不是炫功能版本,而是一次面向“自托管 Agent 能不能被稳妥治理”的大范围维护:native command 强制 owner enforcement,global Active Memory toggle 需要 admin scope,inline skill dispatch 经过 before-tool-call 授权,空 adapter delivery 不再伪装成功,cron model override 与 last-channel failure 得到修复,Telegram access-group / polling watchdog 更可靠,Codex approval 也减少噪音并校验真实 plugin approval 选项。

值得注意: 如果准备升级,建议按真实控制面做 smoke test:cron list/show JSON、channels list / model auth 命令、skills 变化后的 /new 或 sessions.reset、Telegram allowlists 与 poller recovery、Codex approvals、Tavily SecretRef tools、Discord / WhatsApp routing,以及 plugin install / rollback。对常驻通道 Agent 来说,这个版本值得测试后采用。
2026-05-08 风险提醒 风险

OpenClaw 与 Hermes 正在补发布后的无人值守运行路径

5 月 8 日最新一批工作,不是继续堆新功能,而是在补“没人盯着时 Agent 会不会悄悄失效”的路径。OpenClaw 出现了 cron payload timeout 被折回 120 秒 idle watchdog、空 Heartbeat 文件仍定时耗 token、subagent completion fallback delivery、Nix-store plugin hardlink、config fail-closed 写入等修复或报告。Hermes 同时在加固 cron lock scope 与 heartbeat tick、Feishu gateway restart 旧消息回放导致重启循环、update install 安全、拒绝 destructive git reset recovery、terminal /doctor 诊断,以及 native Windows 安装和启动缺口。

值得注意: 如果你跑的是定时任务或通道驱动 Agent,把这批内容放进升级 checklist,而不是当背景噪音:确认 per-job timeout override 生效,Heartbeat 只在有真实任务时运行,测试 subagent completion 投递,按你的打包方式检查 plugin loading,并在无人值守前 smoke-test Hermes cron、Feishu restart、update、Windows 与远程终端路径。
2026-05-08 风险提醒 风险

OpenClaw 与 Hermes 发布首日已经排起可靠性修复队列

下一件真正值得看的事,不是又一个标题功能,而是新 tag 在真实操作者环境里能不能稳定落地。OpenClaw 新报告包括 production event-loop delay、local primary model 不可用时 cron 直接 skip 而不是走 cloud fallback、Gemini subagent 在 stream-ready 后 0 token 卡住、crash / OOM 写入后的 session-store recovery、Codex route preservation 与 OpenRouter model-id normalization。Hermes 新报告包括 TUI 自动 heapdump 把磁盘撑到数十 GiB、skill frontmatter name 与目录名漂移、MiniMax OAuth expiry 解析、Telegram 大媒体上传卡在 20 秒 write-timeout 路径,以及 v0.13.0 Feishu 表格渲染回退。

值得注意: 不要因为最新 tag 已经发布,就默认这轮升级已经“收工”。如果今天已升级,建议补 smoke test:cron fallback、Google / Gemini subagent、session-store recovery、OpenRouter / Codex model routes、Hermes TUI 磁盘占用、skill create / edit 校验、MiniMax 登录、Telegram 大媒体投递与 Feishu markdown table。无人值守生产环境最好等后续 tagged fixes 再放开这些路径。
2026-05-08 风险提醒 风险

Hermes v0.12 操作者应加固 Kanban、Gateway 与远程 TUI 路径

最新 Hermes 报告集中在“常驻 Agent 能不能放心放着跑”的关键路径:Kanban startup watchers 可能在 SQLite migration 上竞争;dashboard chat 每轮可能留下一个 slash-worker 进程;terminal-state 通知可能每 5 秒重复;cron script 可能忽略配置的 workdir;远程 SSH 下的 TUI 复制快捷键还可能把 Agent 中断退出。

值得注意: 如果你把 Hermes v0.12 当日常 Gateway 使用,拉取修复后做一次重启;启动后看 Kanban 日志和 slash-worker 进程数,确认 cron job 真在项目目录运行,并在长时间远程会话前测试 SSH / TUI 复制行为。open PR 在进入正式 tag 前仍按进行中处理。
2026-05-07 风险提醒 风险

OpenClaw 2026.5.6 操作者需要准备 Gateway 卡死恢复方案

最新一批 OpenClaw 报告正在指向一个实际可靠性问题:当 Gateway 被打满或卡死时,依赖 Gateway 自身 RPC 的重启路径和通道投递都可能失效。用户报告了 15-100 秒 WebSocket 响应、99-100% event-loop utilization、僵尸 session、node.list 错误导致所有 agent session 挂住、native Codex 在工具调用后的 follow-up sampling 卡住,以及 embedded direct-lane 的 plugin tool allowlist 失效。

值得注意: 生产 Gateway 升级前,先写清楚一条不依赖 OpenClaw RPC 的 supervisor 级重启路径;限制高风险长任务,保留直接日志 / health check,并在重启后 smoke-test native Codex、Feishu / Discord、node.list 与 plugin allowlist。相关 PR 值得跟进,但在正式 tag 前不要默认已经部署。
2026-05-07 风险提醒 风险

OpenClaw 需要留意升级破损与 Gateway 卡顿回归

新的 OpenClaw 报告显示,2026.5.6 周边有两类可靠性陷阱:package swap 或 npm install 可能让旧的 hashed runtime chunk 失联,导致 CLI、sessions_send、web_fetch 报 ERR_MODULE_NOT_FOUND,直到重启或兼容 alias 生效;另一边,macOS keychain 的同步读取可能阻塞 Gateway event loop,带来 Telegram 超时、turn 长时间 pending 或重复发送。

值得注意: 在修复进入正式 tag 前,不要把生产 Gateway 的 in-place update 交给无人值守流程。每次更新后做一次干净重启,并 smoke-test CLI 启动、web_fetch、跨 session 投递。如果日志里出现多秒级 eventLoopDelayMaxMs,先降低通道流量,再跟进 async keychain 修复。
2026-05-07 风险提醒 风险

OpenClaw Gateway 认证边界需要做一次新审计

新一组 OpenClaw 报告指向几个 Gateway 信任边界缺口:managed outgoing image 下载可能对 device-token 或 trusted-proxy caller 跳过 session ownership 检查;trusted-operator plugin HTTP route 可能让 shared-secret caller 获得类似 admin 的 scope;trusted-proxy mode 在 proxy identity 检查失败时,仍可能接受本地 password fallback。

值得注意: 如果你的 OpenClaw 使用 trusted-proxy auth、device token、plugin HTTP routes,或在多 session 部署里保存生成媒体,现在就把这些列入审计项。先收紧网络暴露、复查 route scopes;在正式 tag 发布前,不要默认相关 PR 已经生效。
2026-05-07 产品更新 关注

OpenClaw 2026.5.6 快速修复 Codex OAuth 路由回退问题

OpenClaw 2026.5.6 迅速回滚了 2026.5.5 中 doctor 修复逻辑的一处风险:有效的 openai-codex ChatGPT/Codex OAuth 路由可能被改写成 openai API key 路由。同时,它也修复了 plugin/runtime fetch header、debug proxy replay header,以及 web-fetch timeout 后工具通道清理不及时的问题。

值得注意: 如果你经历过 2026.5.5 升级且使用 Codex OAuth 路由,先检查默认模型是否仍在预期 route;如被改写,按官方 recovery docs 恢复。此前遇到 header 形态报错的 plugin 或 guarded fetch 路径,也建议重测。
2026-05-06 产品更新 关注

Mercury 1.1.6 让终端 Agent 更接近日常 IDE 工作流

Mercury v1.1.6 重点补的是“能不能当日常工具用”的部分:更稳定的 TUI 启动和输入处理、更像 IDE chat 的 workspace mode、background task 与 sub-agent 完成状态同步、session 级模型切换、platform diagnostics、Spotify 控制,以及新安装默认 seeded web-search skill。

值得注意: 如果你在评估 Mercury 作为 CLI / Telegram 日常 Agent,可以试这个版本,尤其是长任务 coding 场景;正式无人值守前,先验证 background task 清理、模型切换和 workspace 退出路径。
2026-05-06 风险提醒 风险

OpenClaw 2026.5.5 之后建议审计密钥与送达状态

最新一波 OpenClaw issue 更像一张运维检查清单:skill SecretRef API key 可能仍会进入 exec 子进程环境;没有真正调用 channel adapter 时,delivery 也可能被标成成功;Telegram subagent fallback 可能暴露原始子任务输出;新增 binding 可能仍被路由到 main agent。

值得注意: 在修复进入正式版本前,尽量不要把敏感 skill key 放进过宽的 agent workspace;送达验证不要只看状态字段,要做真实 channel 回执测试;每个新增 binding 都检查实际 session key 是否命中目标 agent。
2026-05-06 产品更新 关注

OpenClaw 2026.5.5 更像一次生产环境可靠性修补

OpenClaw 2026.5.5 没有押注单个大功能,而是在补真实部署里的毛刺:Feishu、LINE、Telegram/Codex、Discord、Matrix、Slack、iOS pairing 等通道路径;xAI、Fireworks/Kimi、video hints、Gateway streaming 等 provider / 网关问题;以及 session、plugin、media、doctor、Control UI 的一批修复。

值得注意: 如果你依赖多渠道或 provider fallback,可以把它列入升级候选;但生产环境升级前,仍应按自己的通道、插件和 runtime 对照 release notes 做回归检查。
2026-05-06 风险提醒 风险

OpenClaw 外部插件升级后需要做一次通道检查

新的 GitHub issue 反馈:从 2026.5.2 通过 pnpm 升级到 2026.5.3-1 后,WhatsApp、BlueBubbles 等外部安装插件可能静默消失。真正的问题不是重新安装本身,而是主消息通道下线时没有足够提醒。

值得注意: 升级前后都记录外部插件列表并检查 channel status;在升级路径稳定前,准备好手动重新安装受影响插件。
2026-05-06 风险提醒 风险

OpenClaw 2026.5.4 升级后建议做一次可靠性巡检

2026.5.4 发布后,GitHub 上出现了几类偏运维侧的反馈:Gateway 重启与 auto-compaction retry 后 Telegram 回复可能重复;claude-cli 会话仍在运行,但 OpenClaw 侧 transcript 可能停止写入;bundled fal 图片 provider 已启用却没有注册到 image_generate。另一个 cron PR 也说明 stale future next-run slot 可能让定时任务延后到错误时间。

值得注意: 如果生产环境已上 2026.5.4,建议按真实使用面巡检:重启后看 Telegram 是否重复发送,长会话对比 OpenClaw 与 runtime transcript 是否同步增长,依赖 fal 时先列出 image-generation providers,并确认 cron job 的下次运行时间符合北京时间预期。
2026-05-06 技能 可试用

一个 235-skill 库把 Agent Skills 推向跨工具打包

alirezarezvani/claude-skills 将工程、产品、营销、合规、管理层顾问和 DevOps 能力封装为可复用 skills/plugins。它最值得看的地方是跨 Agent 分发:Claude Code、OpenClaw、Hermes、Codex、Gemini CLI、Cursor、Aider、Windsurf、OpenCode 等都被纳入安装路径。

值得注意: 可把它作为分类、打包和转换流程参考;但在可信 workspace 安装前,应逐个审查具体 skill 和脚本。
2026-05-05 产品更新 关注

OpenClaw 2026.5.4 稳定版:语音、插件与 Gateway 热路径修复

2026.5.4 这次更像一次运维可靠性发布:Google Meet/Twilio 语音桥接更快,外部插件迁移给出安装提示,插件 metadata snapshot 复用减少热路径扫描,SecretRef 元数据保留更稳,外部 channel contract 和 QQ active-memory recall 也有修复。

值得注意: 建议按真实工作流做升级验证:如果用 Meet/Twilio,重点测语音;如果依赖外部 channel 插件或 SecretRef token,重启后确认通道仍正常;再看 Gateway 启动和控制面性能。
2026-05-05 技能 可试用

Hermes 开始出现生态地图,而不只是发布叙事

awesome-hermes-agent 把 skills、plugins、部署方式、GUI 工作台、集成和成熟度标签整理到一起。它说明 Hermes 的采用路径正在从“试试这个 Agent”变成“组装一套操作栈”。

值得注意: 可以把这个列表作为候选来源,但推荐前要区分 production、beta 和 experimental,不能只看数量和热度。
2026-05-05 技能 可试用

Hermes Skill Atlas 把 Skill 发现做成离线浏览器

Hermes Skill Atlas 用一个无依赖 HTML 文件承载精选 Skill 浏览器,提供搜索、分类、Hermes / Claude Code / OpenClaw 安装标签和结构化 JSON 数据。这说明发现问题正在从原始列表,走向更适合操作者的工具形态。

值得注意: 可以参考它的分类、安装说明和元数据设计,反向改进 AgentOS Watch 的 skill/topic 页面。
2026-05-04 产品更新 关注

Hermes v0.12 推出多 Agent Kanban,并行协作成为主叙事

Hermes 把多 Agent 协作呈现成看板:Agent 从任务板领取任务、并行执行、阻塞时交接,操作者从一个视图里观察和解锁进度。

值得注意: 用一个边界清晰的小项目测试,看 Kanban 是否真的比终端式多 Agent 编排更省监督成本。
2026-05-04 技能 可试用

跨 Agent WebSearch Skill 正在变成基础设施

一个面向 Claude Code、Codex、Cursor、Hermes、OpenClaw 等 Agent 的 WebSearch skill 在 X 上获得较高传播,因为它解决了共同痛点:Agent 需要稳定访问搜索引擎和社交平台。

值得注意: 评估安装流程、覆盖平台、本地运行说法,以及结果是否带足够来源和时间戳,能否进入自动简报管线。
2026-05-04 风险提醒 风险

Tool call 数据正在变成经济型安全风险

X 上有讨论提醒,高频 Agent 工具调用可能变成有价值的数据,尤其经过反代或中转服务时。隐私问题会变成经济激励问题。

值得注意: 把 provider 路由、反代端点、日志、skill 权限纳入产品评分卡,再推荐任何 Agent 配置。
2026-05-04 使用案例 可试用

内容工作室类 Skills 是 Agent 工作流的高需求场景

设计系统、短视频流程、小红书卡片、newsletter 草稿正在从抽象 prompt 变成具体 skill 类别。

值得注意: 为 Skills Radar 建一个内容工作室场景包:文章转卡片、文章转 thread、设计系统、视频脚本、邮件草稿。
2026-05-04 新产品 关注

Mercury 将自己定位为常驻、权限加固的个人 Agent

Mercury 主打 markdown 人格、Telegram/CLI、多进程常驻、定时任务、工具权限和 token 预算。这个方向回应了真实需求:一个能长期运行、不会静默越权的个人 Agent。

值得注意: 继续观察真实使用反馈,并与 OpenClaw/Hermes 对比稳定性、记忆行为和权限边界。
2026-05-04 技能 可试用

Agent Skills 数量爆炸,真正的瓶颈变成发现与筛选

ClawHub、Agent Skills 和社区精选列表显示 skills 生态正在快速膨胀。价值不在再做一个原始目录,而在按场景筛选、提示风险、说明安装和使用方法。

值得注意: 优先做场景包:研究简报、浏览器自动化、GitHub 工作流、内容工作室、邮件日程、安全权限。
2026-05-03 产品更新 关注

OpenClaw 2026.5.2 发布 provider、plugin、gateway 与多渠道修复

官方强调插件安装更稳、Gateway 路径更轻、多渠道和语音体验改进;但社区也出现 context overflow、工具调用过度等反馈,适合先测试再升级。

值得注意: 先读更新说明和社区反馈,用现有 workflow 做回归测试,再决定是否升级生产环境。
2026-05-02 社区反馈 关注

用户已经在问:哪个个人 Agent 真的能用来干活?

V2EX 讨论直接暴露核心痛点:很多 Agent 看起来都是 LLM + tools + skills + IM,但用户担心不稳定、记忆被重置、workflow 不可靠。

值得注意: 建立产品评分卡,重点评估稳定性、记忆持久性、权限安全和工作流可复现性。