OpenClaw 2026-04-04 代码更新:Token 安全加固与 Cron 隔离强化
核心变化概览
本次更新(20 个 commit)没有发布新 Release,但包含三个关键修复和一个 SDK 导出功能。重点围绕 Token 作用域安全、Cron 任务模型隔离 和 网关认证简化。
对我们的具体影响分析
1. Token 作用域修复(3 个 commit 直接影响)
- [7d22a16] fix: bound bootstrap handoff token scopes
- [3f1b270] fix: preserve cached device token scopes safely
- [056c087] fix(gateway): preserve stored scopes when reconnecting with device token
影响范围: Gateway 认证层 + Memory Service 凭证管理
对我们的影响:
- 我们的
memory-systemskill 依赖 device token 存储敏感凭证(domain=system) - 此前 token 重连时可能丢失作用域,导致凭证访问权限降级
- 修复后: Device token 重连时作用域会被安全保留,
curl http://localhost:18800/facts的权限完整性得到保障 - 行动: 立即应用此更新,无需改动 AGENTS.md
2. Cron 模型隔离修复(1 个 commit,高优先级)
- [16e7e25] fix(cron): prevent agent default model from overriding cron payload model (#58294)
影响范围: reminder skill 的 cron 任务执行
对我们的影响:
- 我们的
reminderskill 使用 cron 执行定时任务(如每日 recall、周提醒) - 此前如果代理配置了默认模型,会覆盖 cron payload 中指定的模型参数
- 导致定时任务可能用错 LLM 模型执行,影响输出质量
- 修复后: Cron payload 中的模型指定会得到尊重,不被全局默认覆盖
- 行动: 更新后无需改 AGENTS.md,但建议检查
skills/reminder/SKILL.md中 cron 配置是否有明确的 model 字段
3. 网关认证简化(1 个 commit)
- [3758a0c] refactor(gateway): simplify connect auth parsing
影响范围: Gateway 启动和连接流程
对我们的影响:
- 网关认证解析逻辑简化,可能改变错误处理和日志输出
- 对我们的 systemd 原生部署(port 4001)和 Cloudflare Tunnel 连接无破坏性变化
- 行动: 应用更新后,观察 Flask 后端日志,确保认证流畅通
4. 烟雾测试加固(1 个 commit)
- [79be1e1] fix: harden parallels smoke harness
对我们的影响: 无直接影响。这是内部测试框架优化。
5. SDK 功能扩展(1 个 commit)
- [33e6a7a] feat(plugin-sdk): export OpenClawSchema via plugin-sdk/config-schema
影响范围: 第三方 skill 开发
对我们的影响:
- 如果后续开发自定义 skill,现在可以直接从
plugin-sdk/config-schema导入 schema 定义 - 对现有 18 个 skill 无影响,但让
fullstack-devskill 开发新功能时更便利
6. 文档刷新(8 个 commit)
这些都是文档同步更新(cron model override refs、device token scope mirrors、plugin config schema refs 等),对我们的运行时无影响。建议一并拉取保持文档同步。
升级建议与操作步骤
优先级:高。立即应用。
步骤
-
使用 openclaw-updater skill 应用更新
触发: "更新 OpenClaw 到最新代码" skill: skills/openclaw-updater/SKILL.md这会自动拉取所有 20 个 commit 并重启 Flask 后端。
-
验证 Token 作用域完整性
curl -s http://localhost:18800/health curl -s http://localhost:18800/facts | jq '.domain' | grep system确认 memory service 仍能访问 system facts。
-
检查 Reminder cron 任务
curl -s http://localhost:18800/reminders/today pm2 logs oc-api | grep -i cron确认定时任务正常执行。
-
监控 Flask 后端日志
journalctl -u oc-api -f --lines=50观察网关认证简化后是否有异常。
总结
本次更新虽未发布新 Release,但包含 3 个关键安全修复 和 1 个模型隔离强化,直接保护我们的 Token 凭证安全、Cron 任务执行准确性和网关连接稳定性。建议立即应用,无破坏性风险。