OpenClaw接入Gemini 3.1和Apple Watch

　　新智元报道

　　编辑：元宇艾伦

　　过去三周，OpenClaw 以几乎「每两天一个版本」的速度狂飙进化，Andrej Karpathy 称其为 AI 技术栈「既酷又让人兴奋的新层」。

　　2 月以来，OpenClaw（前身为 Clawdbot、Moltbot）卷疯 AI 圈。

　　几乎每两天一个版本的节奏，连发十余次更新，在模型生态、全场景体验、多智能体协同以及安全加固等多条战线，同步推进。

　　在 2 月 21 日 OpenClaw 发布的最新版本中，正式接入了 Google Gemini 3.1 Pro 预览版，还将 Discord 引入实时语音与连续路由功能。

　　https://github.com/openclaw/openclaw/releases/tag/v2026.2.21

　　就在 OpenClaw 狂飙进化的同时，AI 圈顶流 Andrej Karpathy 的一条动态更是将这场狂欢推向了高潮：

　　他在社交媒体上发帖：自己周末买了一台新 Mac mini，准备好好折腾一番「Claws」。

　　他将 Claws 视作叠加在智能体之上「新的一层」，这一层将编排、调度、上下文管理、工具调用以及持久化能力直接拉升到了全新高度，是 AI 技术栈中「又酷又让人兴奋的新层」。

　　Karpathy 的入场，为整个「Claw」赛道注入了一针兴奋剂。

　　Simon Willison 随即撰文指出，「Claw」正在演变为一个行业通用术语，指代所有类似 OpenClaw 架构的智能体系统。

　　短短两周内，OpenClaw 的 Token 使用量就飙升到了 OpenRouter 上全部 Token 约 13%（主要来自开源权重模型）。

　　下面，我们简单梳理了 OpenClaw 二月重要更新。

　　iOS 生态：二十天完成移动端跃迁

　　二月，OpenClaw 在 iOS 生态上的推进堪称神速。

　　2 月 9 日：发布 iOS 节点应用 Alpha 版，搭配 setup-code 引导流程，首次实现手机端接入。

　　2 月 17 日：加入 iOS 分享扩展。用户可将 URL、文字、图片直接从系统分享菜单推送给 AI 助手，打断感降至最低。

　　2 月 19 日：Apple Watch 伴侣应用上线。用户可在手表端查看收件箱、收发通知，甚至直接在通知流中批准/拒绝操作请求并快速回复。同步引入 APNs 推送唤醒机制，确保 iOS 节点在后台也能被可靠唤醒。

　　2 月 21 日：手表端操作可通过桥接机制无缝传递到 iOS 主应用处理；同时优化了 Talk Mode，当输出路由为内置扬声器时自动禁用语音打断，大幅减少本地 TTS 回放造成的误触发。

　　从 2 月初的 alpha 试水到月末的功能基本齐备，OpenClaw 正在从「跑在 Mac mini 上的服务端程序」延伸为覆盖桌面、手机、手表的全场景智能体平台。

　　架构演进

　　嵌套「子智能体」解锁复杂任务

　　对于试图构建复杂 AI 工作流的开发者而言，子智能体（Subagents）体系的成熟是本月最核心的架构突破。

　　2 月 15 日：首次引入嵌套子智能体，即子智能体可以再生成自己的子智能体（sub-sub-agents）。

　　系统通过maxSpawnDepth参数控制深度，限制每个智能体最多生成 5 个子节点，并加入了深度感知的工具策略和 announce 链路由。

　　2 月 21 日：默认生成深度策略稳定为 maxSpawnDepth=2，意味着一层编排器默认即可生成子智能体。

　　上下文溢出时的自动截断和恢复机制也已就位——当子智能体的工具输出超出上下文窗口时，系统会预先截断过大的输出并压缩最早的工具结果消息，引导模型用更小的分块重新读取，避免简单粗暴地崩溃。

　　这套体系让OpenClaw 具备了处理多层级复杂任务的能力，例如让一个主智能体分派多个子任务，每个子任务又可以按需拆分，形成树状执行结构。

　　Discord

　　多智能体协作的主阵地

　　Discord 是 OpenClaw 社区最活跃的渠道之一，二月的更新让它的体验发生了质变。

　　2 月 13 日：支持发送带波形预览的语音消息。

　　2 月 15 日：里程碑版本，解锁 Components v2。按钮、下拉选择菜单、模态框等原生交互组件首次可用于 AI 智能体的对话界面，智能体可以向用户展示结构化的交互选项，不再只能依赖纯文本。

　　2 月 17 日：可复用交互组件上线，按钮和选择菜单在过期前可被多次使用；新增 per-button 的用户允许列表，控制谁能点击特定按钮。

　　2 月 21 日：加入语音频道的加入/离开/状态控制（通过/vc 命令），支持自动加入配置以实现实时语音对话；流式预览回复和生命周期状态反应表情同步上线；子智能体会话可以绑定到特定 Discord 线程。

　　这些功能叠加之后，OpenClaw 在 Discord 上的表现不再像一个简单的聊天机器人，而更接近一个具备完整交互能力的 AI 原生应用。

　　模型版图

　　头部大模型全面集结，践行模型中立

　　作为更新的一个重要方面，OpenClaw 二月接入模型的版图也在迅速扩张：

　　2 月 6 日：支持 Anthropic Opus 4.6（前向兼容）和 xAI Grok。

　　2 月 9 日：Grok 网页搜索能力上线。

　　2 月 13 日：接入 Hugging Face Inference 和 vLLM，含引导流程和默认模型选择。

　　2 月 17 日：支持 Anthropic Sonnet 4.6；上线 Anthropic 100 万 token 上下文 beta（通过 model params.context1m: true 开启）。

　　2 月 21 日：接入 Google Gemini 3.1 Pro 预览版。

　　OpenClaw 的模型中立策略正在快速兑现——用户可以根据任务需要在 Claude、GPT、Gemini、Grok 等模型间灵活切换。

　　细节打磨：更新流式体验与底层可靠性

　　除了宏观架构的演进，OpenClaw 对于一些关键的细节问题也进行了相应更新。

　　Slack 原生流式输出

　　Slack 端在 2.17 版迎来一项重要体验改善：引入 chat.startStream/appendStream/stopStream 的原生单消息流式输出，彻底告别了此前通过反复编辑消息来模拟「打字中」效果的笨拙方式。

　　流式输出默认开启，失败时自动回退到普通投递，回复线程行为与 replyToMode 配置保持一致。

　　定时任务大修

　　主要包括那些容易被忽视但极为实用的改动。

　　在 2.12 版集中解决了一批长期困扰用户的问题：

　　防止重复触发、隔离调度器错误（一个坏任务不再拖垮所有任务）、修复一次性 at 任务在重启后重复执行、新增 webhook 投递和认证令牌支持。

　　2. 14 版又加入了 Telegram 话题的精确投递和身份保持。

　　对于依赖 OpenClaw 进行定时自动化的用户来说，这些看似琐碎的修复直接关系到系统能否可靠运行。

　　消息投递可靠性

　　2. 13 版加入了写前投递队列（write-ahead delivery queue），网关重启后不再丢失未发送消息。

　　跨平台（iMessage、Telegram、Matrix 等）的回复线程路由得到统一修复，分块消息不再频繁「跳出」主线程。

　　安全

　　一场 40 万行代码的攻防战

　　狂欢背后，OpenClaw 正面临着严峻的安全考验。Karpathy 在兴奋之余也坦言了自己的极度不安：

　　我确实对跑 OpenClaw 这事有点不太放心——把我的私密数据/密钥交给一个 40 万行、基本「全靠感觉写出来」的巨兽代码库，而且它还在被大规模盯着打……这感觉完全是个蛮荒西部，是一场安全噩梦。

　　事实证明了他的担忧绝非杞人忧天。

　　自一月底爆红以来，OpenClaw 已成为黑客与安全专家的「靶场」：

　　卡巴斯基在报告中披露，早在一月底的安全审计中就发现了 512 个漏洞，其中 8 个被评为严重级别。

　　安全研究员 Jamieson O'Reilly 通过 Shodan 扫描发现了数以万计未设置任何身份验证的公开实例，他甚至能够获取到 API 密钥、消息平台机器人令牌、Slack 账户凭证以及完整的聊天历史。

　　Bitsight 的分析显示，在一月底至二月初的分析窗口内，公网上暴露的 OpenClaw 实例超过 30000 个。

　　CVE-2026-25253（CVSS 8.8）的披露尤其令人警醒——攻击者只需诱导受害者访问一个恶意网页，就能在毫秒级内实现远程代码执行，即使 OpenClaw 仅绑定在本地回环地址上也无法幸免。

　　供应链污染同样严峻。

　　安全公司 Koi Security 发现了被称为「ClawHavoc」的攻击行动：攻击者在官方技能市场 ClawHub 上传了数百个伪装精良的恶意技能，使用专业文档和无害的名称，安装后会部署键盘记录器或 Atomic Stealer 恶意软件。

　　据统计，2857 个技能中约 341 个（约 12%）被确认为恶意。

　　Cisco 的安全团队将 OpenClaw 称为「从安全角度看的绝对噩梦」，并发布了开源的 Skill Scanner 工具。

　　Trend Micro 的研究也指出，错误配置和未经审查的技能已经导致数百万条记录泄露，包括 API 令牌、电子邮件地址、私人消息和第三方服务凭证。

　　面对这些威胁，OpenClaw 在二月的每一次更新都演变成了一场高强度的攻防战，关键措施包括：

　　加密与防护升级：全面淘汰 SHA-1 启用 SHA-256；严密封堵了涵盖 IPv6、NAT64 等多种绕过手法的 SSRF 漏洞；修复了 Windows 守护进程的命令注入漏洞。

　　沙盒与隔离机制：强制封锁 Docker 沙盒中的危险配置（如 Host 网络、关闭安全策略）；浏览器默认移除--no-sandbox 标志，新增 VNC 密码认证和专用 Docker 网络隔离。

　　权限收口：堵住 Discord 权限提升、ACP 会话管理、Webhook 路径遍历等后门，并在 2.21 版中引入 owner-ID 混淆使用独立 HMAC 密钥的机制。

　　项目创始人 Peter Steinberger 在 2 月 16 日发帖宣布加入 OpenAI 负责个人智能体方向的开发，OpenClaw 过渡到由 OpenAI 提供资金和技术支持的独立基金会。

　　这一转变是否会为项目带来更充足的安全资源，目前尚待观察。

　　参考资料：

　　https://github.com/openclaw/openclaw/releases/tag/v2026.2.21

　　https://x.com/karpathy/status/2024987174077432126