OpenClaw 最新信任边界报告,集中在工具、密钥、提示词泄漏和投递堵塞
beta.6 之后最有用的 OpenClaw 新内容不是 docs-only 改动,而是一组直接对应 operator incident 的 trust-boundary 报告。Issue #75124 指出,用户可调用的 `command-dispatch: tool` skill slash commands 会创建 raw OpenClaw tool set,只做 owner-only filtering,没有走 profiles、group / channel rules、sandbox state、subagent depth 的正常 effective policy pipeline。PR #75101 在一次生产事故后加入 `tools.exec.denyPathPatterns`:sub-agent 读取了 `~/.openclaw/secrets/telegram-trader.env`,两个 Telegram bot tokens 进入 session JSONL 和下一次 outbound LLM request。PR #75128 把 BOOT.md 包进 internal-runtime-context,并从 message-tool 参数里剥离,因为 fallback model 可能把启动指令回显给用户。Issue #75131 显示 Telegram 超长消息 retry 会生成新的 queue UUID,而不是 idempotent retry;永久 400 错误跨重启持续重试,导致 event-loop utilization 接近 0.996,归档 stuck items 后才降到 0.264。Issue #75134 报告原始 `[OpenClaw heartbeat poll]` prompt 出现在 Telegram DM;旁边 #75126 和 #75133 则补 strict tool-mode diagnostics 与 bundle activation metadata。
这些是个人 Agent 能不能接真实频道的底层控制面:tool policy 必须一致生效,secrets 需要 runtime enforcement 而不是写在指令里,内部 boot text 即使 fallback 也要保持内部,delivery queue 对永久平台错误必须永久失败。任一边界失守,模型聪明与否都不重要。
- Issue #75124 称 `command-dispatch: tool` skill slash commands 调用 `createOpenClawTools(...)` 后只做 owner-only filtering,没有走正常 policy pipeline
- PR #75101 引用一次 sub-agent 读取 Telegram trader env 文件造成 token 泄漏的生产事故,并在 allowlist / approval / safeBins checks 之前加入 runtime-enforced `tools.exec.denyPathPatterns` gate
- PR #75128 把 BOOT.md 内容包进 internal-runtime-context,剥离 visible message-tool fields,并在 fallback 时抑制大段 boot-prompt echo
- Issue #75131 报告 Telegram 超长消息会创建多个新 queue UUID,永久 400 错误跨重启重试;事故中归档 3 个 stuck items 后 eventLoopUtilization 从 0.996 降到 0.264
- Issue #75134 报告 raw heartbeat poll prompts 出现在 Telegram DMs,尽管 HEARTBEAT_OK acknowledgements 已被 suppress
- 附近 PR 补充 strict tool-mode diagnostics / report contracts,并保留 bundle activation metadata
- 多个条目仍是 open issue 或 PR,需要确认当前 OpenClaw build 是否已经包含保护
- path-deny patterns 需要随 secret 位置变化维护;过宽的 pattern 也可能拦住合法操作
- delivery-queue cleanup 如果不检查 payload 和平台错误类别,可能丢掉仍应发送的 outbound messages