OpenClaw beta.8 精简 core 依赖,并加固 Telegram 入站、child-model defaults、凭据和富回复
OpenClaw v2026.5.12-beta.8 仍是一版覆盖面很宽的 operator release,但重心从单点 channel bug 转向 runtime shape。Bedrock、Bedrock Mantle、Slack、OpenShell sandbox、Anthropic Vertex 被移出 core,默认安装不再把这些 provider / plugin 的依赖树一起拉进来。Telegram Bot API polling 被移到 isolated worker,并加 durable local spool,让 main event-loop 卡住时入站消息采集不跟着停。Release 还加入 ACP backend fallbacks、Control UI auto-scroll selector、SSE history 的 monotonic transcript sequence 修复、Windows `USERPROFILE` sandbox blocked home roots、更严格的 SecretRef provider credential resolution、bodyless media-fetch 避免 heap 浪费、onboarding provider API key flag 转发、从 setup env vars 发现 provider plugins、auth-profile stale-lock reclaim、Codex OAuth refresh error 分类、browser scope-loop 缩减、plugin SDK subpath 兼容、rich / card-only outbound content 识别,以及 Codex `tools.message` 回复在 WebChat / TUI 中正确镜像。
这版的有效模式是 dependency isolation 和 event-loop isolation。core 更小意味着安装和供应链面更小;Telegram 入站隔离、凭据解析收紧,则针对的是 agent 常驻真实频道后才会暴露的失败方式。
- beta.8 release notes 明确 Bedrock、Bedrock Mantle、Slack、OpenShell sandbox、Anthropic Vertex 从 core install 外置
- Telegram polling 移到 isolated worker,并使用 durable local spool,以承受 main event-loop stalls
- Release 将 Windows `USERPROFILE` 加入 sandbox blocked home roots,即使 `HOME` 指向另一个 shell home,也 deny `.codex`、`.openclaw`、`.ssh` 等 credential binds
- Provider config 的 apiKey 只通过 structured env SecretRefs 解析,不再从宽泛的大写字符串推断 credentials
- Gateway/session history 携带 monotonic transcript sequence,并在 stale SSE history 时刷新而不是追加错误增量状态
- Rich presentation、interactive controls、channel-native payloads 在 follow-up、heartbeat、cron、ACP、block-streaming 路径都算作 outbound content
- 仍是 beta prerelease;依赖外置可能影响现有 plugin / provider 组合,生产前需要 staging
- Telegram ingress worker + spool 会改变失败模式,需要观察 spool 清理和重复投递行为
- 凭据解析收紧可能打破过去意外依赖宽松 env-var marker 推断的配置