2026-05-15 风险提醒关注

OpenClaw 新一轮 operator 更新：让审批更可读、更隔离，也更不容易污染后续运行

北京 5 月 15 日凌晨最值得看的 OpenClaw 更新，是让真实 operator 看得懂、也更能信任 agent 将要做什么。PR #81864 加入 configurable plain-language plugin approval prompts，让聊天里的审批能显示简短摘要、步骤、风险提示和选择项，而不是直接把 command text、tool IDs、session keys、expiry、`/approve` syntax 原样甩出来。PR #81380 把 approval list / resolve path 绑定到已记录的 requester metadata，降低一个 requester 看见或处理另一个 requester pending approval 的风险。PR #80922 把 POSIX allowlist、allow-always persistence、approval summaries、enforced shell rendering 统一走 Tree-sitter command authorization planner，替换旧的 chain / pipeline / heredoc parser。相邻修复也都指向运行时漂移：PR #75270 防止临时 fallback model 在 primary 恢复后继续粘住 session；#81868 让 exact-command cron turns 默认不加载笨重的 bootstrap / memory context；#81870 把 auth store 传进 image / video / music generation，让 OAuth-backed Codex token 过期后能刷新；#81764 在 Telegram 拒绝 HTML parse-mode 时生成可读 plain text，并保留链接目标。#81851 也很吸睛，但它用 local TLS proxy 捕获 Claude CLI reasoning stream，属于敏感 experimental preview，不应被当成默认路径宣传。

影响观察中来源2 对象operator · developer · team

为什么重要

审批 UX 不是美化问题。Agent 通过聊天渠道执行真实动作时，用户必须看懂自己在批准什么，gateway 也必须证明 approval record 只对正确 requester 可见可处理。fallback、cron、auth、delivery 这些运行时修复同样重要，因为它们会在几小时后把一个本来能工作的 agent 变成难排查的 agent。

证据

PR #81864 增加 `approvals.plugin.language` modes，并为 plugin / Codex command approvals 渲染 plain-English prompt
PR #81380 按 requester metadata 过滤 approval lookup / list / resolve，并为 plugin approval requests 写入该 metadata
PR #80922 将 POSIX allowlist evaluation、allow-always persistence、approval summaries、enforced shell rendering 迁到 Tree-sitter planner
PR #75270 说明 successful fallback candidates 曾被写入 session override state，导致后续 turns 被 pin 到 fallback model
PR #81868 让 command-style cron payloads 默认使用 lightweight bootstrap context，除非显式关闭
PR #81870 将 `authProfileStore` 传入 media generation tools，让过期 OAuth access token 可以刷新
PR #81764 在 Telegram HTML 被拒后，从 rendered HTML 生成可读 plain text，并把 anchor targets 保留为 `label (url)`

风险提示

review 时多数仍是 PR，生产构建未必已经包含这些行为
plain-language approvals 不能隐藏 exact command / script；高风险动作仍应保留 raw 或 hybrid 详情
Claude CLI reasoning 的 local TLS proxy 路径很敏感，使用前需要评估 trust、certificate 和 audit 边界

判断

关注

下一步： 如果在聊天渠道跑 OpenClaw，把 approval 变更放进 staging，用真实 Telegram / Slack approval cards 验证 requester isolation、allow-always 行为和被拒绝的 shell chains。再回归：model fallback 恢复后是否不粘住；Codex 迁移后的 command cron 是否不超时；OAuth-backed image / video / music tools 在 token 过期后能否刷新；Telegram HTML 被拒时 fallback 是否可读。

相关阅读

OpenClaw 把 beta.8 的依赖清理推成稳定版，又用新 beta 补上可审计性与聊天体验

OpenClaw beta.8 精简 core 依赖，并加固 Telegram 入站、child-model defaults、凭据和富回复

OpenClaw 新一组 operator 问题集中在出站 hooks、TTS、auth lock 和 fallback 可见性