新智元报道
编辑:元宇
104 位开发者联手,全球最火开源 AI 助手 OpenClaw 再出重磅更新,第一次给 AI Agent 装上「操作系统」级的任务控制面板:让 AI 能够自己管理自己,会排任务也会说不:Agent 竞赛的下半场来了。
一个月前,网络安全公司 eSentire 的专家 Alexander Feick 在 The New Stack 上说了一句话,让 AI Agent 社区担忧良久:
OpenClaw 最根本的缺口不是某个复选框,而是缺少一个能表达细粒度信任边界的控制平面。
https://thenewstack.io/openclaw-github-stars-security/
Feick 是看到了 OpenClaw 采用已远超常规水平时,才发出这样警告的。
他的潜台词很明显:你的 AI 助手越能干,越危险:因为根本没人管得住它。
当时 OpenClaw 刚刚创下纪录:从零起步,仅用约 60 天就以 250k Star 超越了 React 十年的积累,成为 GitHub 上 Star 数最多的软件项目。
但挑战也随之而来:一个没有调度内核、没有权限管控的 AI Agent 平台,跑得越快,翻车越狠。
就在刚刚,Feick 提到的「控制面板」的缺位问题有解了。
OpenClaw 项目创始人 Peter Steinberger(@steipete)在X上正式官宣了 OpenClaw v2026.3.31-beta.1 发布。
https://github.com/openclaw/openclaw/releases
这次发布,标志着 OpenClaw 的后台任务调度,从零散记账走向了统一控制面。
SQLite 背后的野心
后台任务控制面成形
这次更新之前,OpenClaw 的「后台任务」是怎么工作的?
实际上,它几乎没有真正「工作」过。
此前,OpenClaw 的后台任务只是 ACP(Agent Client Protocol)层面的记账工具。
子任务跑完了,结果可能找不到父会话;cron 定时任务和 CLI 后台执行各走各的路;一旦任务中途崩溃,恢复机制形同虚设。
这次,v2026.3.31-beta.1 做了一件大事:把 ACP、subagent、cron、后台 CLI 四种执行体,全部统一到一个 SQLite-backed 的任务账本上。
这意味着如下几个方面的升级:
第一,所有后台任务现在有统一的生命周期管理。心跳监测、丢失任务自动恢复、审计与维护,全部内建。
第二,引入了 task flow 注册表。开发者第一次可以用openclaw flows list|show|cancel来查看和控制任务流。多任务编排有了「父记录」的概念,不再是一堆散落的「孤儿进程」。
第三,被阻塞的任务可以持久化 blocked 状态,在同一个 flow 上干净重试,而不是碎片化成新任务。
子任务的结果也能回溯到父会话:你的 Agent 在后台跑完一个复杂任务后,知道该去哪个对话线程汇报。
更关键的是,这不只是一个功能增强。
Kubernetes 把容器的调度统一到了一个控制平面上,而 OpenClaw 这次做的事情十分类似:把四种不同的后台执行路径统一到了一个 SQLite 账本上。
区别在于,Kubernetes 调度的是容器,而 OpenClaw 调度的是 AI Agent 的任务。
创始人警告
最好赶快升级
这个版本有 6 个 Breaking Change,其中 4 个直接与安全相关。
最重要的一条:ACP 的危险工具审批机制被重写了。
以前的逻辑是按工具名覆盖:把工具名加进白名单就自动放行。
问题显而易见:一个叫「read_file」的工具,背后可能挂着间接执行代码的能力,名字看不出真实风险。
现在改成了按语义类别审批:只有窄范围的只读操作(搜索、读取)可以自动批准,间接具备执行能力的工具和控制平面工具,一律需要用户显式确认。
这条改动针对的是 ACP 审批链路,不是 OpenClaw 全部审批系统的统一切换,但它封堵了此前最大的一个权限漏洞。
这还不是全部。
插件安装现在默认 fail-closed:如果内置安全扫描发现危险代码,安装直接失败。
想强行装?
你得手动加上:dangerously-force-unsafe-install这个刻意设计得很长的参数。
Gateway 认证全面收紧:trusted-proxy 不再接受混合共享 token 配置;node 命令在配对审批通过前保持禁用状态;node 触发的任务被限制在缩减后的受信表面上。
还有这些细节修复:
阻止 Docker 端点、TLS 信任根、Python 包索引、编译器 include 路径被请求级环境变量覆盖;封堵 caffeinate 和 sandbox-exec 的审批绕过;检测 awk、find、xargs、make 等命令载体中的内联 eval……
来自 AntAISecurityLab 的贡献遍布整份 Changelog,包括路径解析竞态、图片炸弹早期拒绝、跨域重定向 cookie 泄露、沙盒符号链接逃逸——每一条都是实战中挖出来的攻击面。
Steinberger 在此前发布 beta 时反复强调:这次更新主要都是安全加固方面的内容,所以你真的最好赶紧升。
多模态、多端爆发
全球化 Agent 的触手在延伸
除了以上的骨架和神经系统,还有一些「肌肉」层面的修改,主要是指在渠道覆盖上的更新。
它们指向一个清晰的信号:OpenClaw 的Agent 触手正在向全球化延伸。
其中一个改变,是 QQBot作为捆绑渠道插件正式加入。
支持多账号配置、SecretRef 凭证管理、斜杠命令、提醒功能、媒体收发。
WhatsApp 的更新看起来很小,但设计意图值得玩味:Agent 现在可以用 emoji 对消息进行表情回应:用❤️代替打一段文字回复。
这是在让和机器人的聊天更接近「自然对话」。
Matrix 加入了流式响应:部分回复现在会原地更新同一条消息,而不是每个 chunk 发一条新消息。
LINE 支持了图片、视频、音频外发。
Microsoft Teams 加入了 Graph-backed 的成员信息查询。
还有 CJK 全家桶修复。
上下文裁剪终于不再低估日文和中文 Extension B 汉字的长度;
内存搜索加入了三元组分词和短 CJK 子串回退;
沙盒浏览器安装了fonts-noto-cjk:截屏里的中日韩文字终于不再是豆腐块;
TTS 自动检测 CJK 主导文本并切换中文语音;
Markdown 渲染修复了裸链接吞噬相邻 CJK 文字的问题。
这些「小修复」叠加的效果,显示了 OpenClaw 从一个英语开发者的极客玩具,正在向一个「全球化多语言基础设施」的目标迈进。
它想要的已不再是 GitHub Trending,而是已将视角投向更广阔的全球市场。
343k Star 背后
把野蛮生长装进制度化轨道
除了技术细节之外,还有一个值得玩味的数字:这个 beta 版本有 104 位贡献者参与。
steipete 此前就在推特上感慨过 OpenClaw 面临的「幸福的烦恼」:
PR 以不可能的速度增长:一天曾提交了大约 600 个 commit,因此他需要一个 AI 来扫描每个 PR 和 Issue 并去重。
网友 jonahships_说:「Claw 能不断在自身之上构建新能力,你只需要在 Discord 里跟它说话就行。未来已经到了。」
网友 rovensky 的判断更尖锐,认为 OpenClaw 才是真正可能干掉一大批 SaaS 公司的东西。
它才是真正会干掉一大批 SaaS 创业公司的东西:不是 ChatGPT。因为它可以被 hack,更重要的是可以 self-hack,而且可以本地部署。这会碾压传统 SaaS。
数据层面:截至 2026 年 3 月,已有 172 家创业公司基于 OpenClaw 生态构建产品,月生态收入达$361K。
ClawHub 技能市场从 2 月初的 5700 个技能增长到 13729 个。月访问量 2700 万,月活用户 200 万。
但热闹之下,安全问题也日益严峻。
5000+ 的 open issues。
一天 3100 个 commit 的审核压力。
一位 Meta 高管的 Agent 误删了整个邮箱。
一个计算机系学生发现他的 Agent 自作主张在交友网站上创建了资料。 安全研究者披露过零点击劫持漏洞……
毫无疑问,开源社区的速度已经超过任何一家公司的产品迭代节奏。速度如果失去秩序,就将是灾难。
这次 v2026.3.31-beta.1 的任务控制平面和安全收紧,本质上是在用架构手段,把这种野蛮生长装进制度化的轨道。
技术平民化的浪潮
一个月前,Feick 警告要把控制平面,嵌入 OpenClaw 这样的工具,而不是事后补充。
市场会把 OpenClaw 这样的工具推到远远领先于治理框架的位置:除非我们把控制平面嵌入进去,而不是当作事后补充。
这次 v2026.3.31-beta.1 升级,刚好是回应了这一点:把首个 AI 任务控制平面嵌入到了 AI Agent 的治理体系中。
后台任务控制面解决调度问题;ACP 语义审批收紧权限管控;多渠道能力继续扩展,这三件事叠加在一起,显示 OpenClaw 的治理能力在这个版本里又有了实质性的增强。
从项目历史看,OpenClaw 用 60 天超过了 React 十年的 Star 积累。
这次更新,意味着 OpenClaw 这个项目正在从「爆红」阶段进入「基础设施化」阶段。
一个开源社区,短短两个月就自发构建出了 AI Agent 领域的第一个任务控制平面,这件事本也在改写行业的游戏规则。
产品该如何定义,以往这个问题的答案属于大公司的产品经理。
如今,这个问题,正在被更多像 GitHub 这样的开源社区上的全球贡献者所接管。
一场技术平民化的趋势,正伴随着 AI 浪潮,更加强烈、不可逆转地到来。
参考资料:
https://x.com/steipete/status/2039076488897876462?s=20
