OpenClaw重磅更新：Skills安装不再迷茫，控制台界面全面优化，安全漏洞彻底修复

OpenClaw 恢复了高频更新节奏。本次更新内容并非简单的错误修复，更新日志的篇幅也反映了此次变动的分量。其中几项关键改进值得重点关注。

Skills 安装与管理体验显著提升

此次更新对 Skills 的安装与管理流程进行了大幅优化，对普通用户而言感知最为直接。

1. 一键安装配方
针对内置的常用 Skills（如 coding-agent、gh-issues、openai-whisper-api 等），系统现提供一键安装配方。安装时，系统会自动检测缺失的依赖项并给出明确提示，用户无需再自行查阅文档排查。

2. 控制台界面重构
控制台的 Skills 管理页面已完全重新设计。旧版密集排列的卡片式布局已被清晰的标签页取代，分为：全部 / 已就绪 / 需配置 / 已禁用，并附带数量统计，状态一目了然。

点击任一 Skill 将弹出详情对话框，其中清晰列出了配置要求、API Key 获取方式及安装指引。

3. 提示文案优化
一个细节改动是：Skill 配置缺失的提示标签从“missing（缺失）”更改为“needs setup（需配置）”。这一措辞变化旨在提供更积极的引导，明确指示下一步操作，而非仅仅报告错误。

控制台导航结构优化

macOS 版本的控制台配置页面导航得以改进。原先横向平铺的胶囊按钮导航，已替换为可折叠的树形侧边栏。新的布局通过展开箭头和缩进清晰展示了大类与子类之间的层级关系，类似于 VS Code 的文件树，显著提升了信息查找效率。

关键安全漏洞修复

本次更新修复了一个媒体文件访问路径绕过的安全漏洞。该漏洞可能允许攻击者通过特定路径别名（mediaUrl/fileUrl）突破 OpenClaw 的媒体访问限制，访问未授权的文件。此版本已彻底关闭此路径别名，确保工具动作和消息动作均无法越界访问。

Microsoft Teams 支持全面升级

OpenClaw 对 Microsoft Teams 的支持进行了底层重构与功能增强。

1. 迁移至官方 SDK
底层实现已从非官方方式迁移至 Microsoft Teams 官方 SDK，为稳定性和功能扩展奠定了基础。

2. 增强 AI 交互体验
引入了多项 AI 原生交互特性：
* 流式回复：回复内容可逐字显示，提供更自然的对话体验。
* 智能欢迎卡片：包含快捷提示词。
* 状态指示器：输入时显示“正在思考”状态。
* 原生 AI 标签：消息附带明确的 AI 标识。

3. 支持消息编辑与删除
现已支持对 Agent 已发送的消息进行编辑和删除，提升了交互的灵活性与容错性。

这些改进将 Teams 频道的体验从“基本可用”提升至“易于使用”的层次。

主流通讯平台错误修复

本次更新还集中修复了多个主流通讯平台频道的已知问题：

• WhatsApp：修复了在群组中 OpenClaw 可能重复处理自身消息的问题。
• Telegram：修复了在论坛话题（特别是 #General 主题）中消息路由错误的问题。
• Discord：修复了请求处理超时后无响应的问题；现会发送明确的超时提示告知用户。

这些修复虽看似细微，但对于日常用户而言，能累积带来更稳定、顺畅的使用体验。

面向开发者的更新

对于通过 OpenAI 兼容接口调用 OpenClaw 的开发者，本次更新增加了 /v1/models 和 /v1/embeddings 端点，并支持通过相关接口透传显式模型参数，加强了对 RAG（检索增强生成）及其他应用场景的兼容性。

版本与安装提示
OpenClaw 最新版本要求 Node.js 22.14+ 运行环境，官方推荐 Node.js 24。为避免升级过程中因版本不兼容导致安装失败，openclaw update 命令现已前置版本检查。若 Node.js 版本过低，系统会直接提示需要升级，而非在安装中途报错。

附录：核心更新日志摘要

• 网关 / OpenAI 兼容性：新增 /v1/models 与 /v1/embeddings 端点，增强兼容性。
• Agent / 工具：/tools 接口现在仅展示当前 Agent 实际可用工具；控制台新增“当前可用工具”实时预览区块。
• Microsoft Teams：迁移至官方 SDK；引入流式回复、带快捷提示的欢迎卡片、消息编辑与删除等功能。
• Skills：为内置 Skills 添加一键安装配方；控制台 Skills 页面新增状态筛选与详情对话框。
• Slack：优化富文本回复支持；自动将 Options: 列表渲染为交互控件。

CLI / 容器

新增 --container 参数和 OPENCLAW_CONTAINER 环境变量，支持在已运行的 Docker 或 Podman 容器内执行 openclaw 命令。

Discord / 自动线程

新增可选的 autoThreadName: "generated" 命名模式。创建自动线程后，可异步调用 LLM 生成简洁标题进行重命名；原有的基于消息内容的命名方式保留为默认行为。

插件 / 钩子

新增 before_dispatch 钩子，该钩子携带规范化的入站元数据。已处理的回复现在经由标准末端投递路径转发，保留了 TTS 和路由投递语义。

控制台 / Agent

• Agent 工作区文件列表现已改为可展开的 <details> 折叠行，并支持懒加载行内 Markdown 预览。
• 新增完整的 .sidebar-markdown 样式，覆盖标题、列表、代码块、表格、引用块及 details/summary 元素。

控制台 / Markdown 预览

重新设计了 Agent 工作区文件预览对话框，采用磨砂玻璃背景、固定尺寸面板和样式化标题栏。集成了 @create-markdown/preview v2 系统主题，支持富文本 Markdown 渲染（标题、表格、代码块、标注块、引用块），并自动适配应用的亮色/暗色设计变量。

macOS 应用 / 配置

将横向胶囊式子导航替换为可折叠的树形侧边栏，使用展开箭头和缩进子项行进行层级导航。

CLI / Skills

• 将依赖缺失的提示文案从「missing（缺失）」调整为「needs setup（需配置）」。
• 在 openclaw skills info 的输出中补充了 API Key 配置引导，包括如何获取 Key、CLI 保存命令及存储路径。

macOS 应用 / Skills

在 API Key 编辑对话框中新增了「获取密钥」主页链接和存储路径提示；保存确认消息中会显示配置文件路径。

控制台 / Agent

默认 Agent 模型选择下拉框中新增了「未设置」占位项。

运行时 / 安装

将 Node.js 的最低支持版本从 Node 22 降至 22.14+（官方仍推荐 Node 24），以避免 npm 安装和自更新时将 Node 22.14 用户锁定在旧版本。

CLI / 更新

在执行 openclaw update 进行全局安装前，会预先检查目标 npm 包的 engines.node 字段。若 Node 版本不满足要求，将直接给出明确的升级提示，而非强行安装后失败。

问题修复

出站媒体 / 本地文件

将出站媒体访问权限与已配置的文件系统策略对齐：当 workspaceOnly 关闭时，宿主机本地文件和入站媒体路径可正常发送；严格工作区模式下的 Agent 仍保持沙箱隔离。

安全 / 沙箱媒体分发

修复了 mediaUrl/fileUrl 别名绕过漏洞，防止出站工具动作和消息动作突破媒体根目录限制。

网关 / 重启哨兵

• 重启后通过心跳唤醒被中断的 Agent 会话（不再仅发送尽力而为的重启通知）。
• 出站投递遇到瞬时失败时会自动重试一次。
• 唤醒路径保留了显式线程/话题路由，确保回复落到正确的 Telegram 话题或 Slack 线程。

Docker / 初始化

通过将启动前的初始化配置写入操作路由至 openclaw-gateway，避免了 openclaw-cli 共享网络命名空间的循环依赖，解决了 Docker 全新安装时在网关启动前就失败的问题。

网关 / 频道

保持频道按顺序启动，同时隔离单个频道的启动失败，确保某个频道异常不再阻塞后续频道的启动。

嵌入式运行 / 密钥

未解析的 SecretRef 配置不再导致嵌入式 Agent 运行崩溃，改为回退至已解析的运行时快照。

WhatsApp / 群组

追踪网关近期发送的消息 ID，仅抑制匹配的群组消息回声，保留关联账号 fromMe 流量中的 /status、/new、/activation 等所有者指令。

WhatsApp / 回复机器人检测

恢复了隐式群组回复检测功能。通过解包 botInvokeMessage 载荷并从 creds.json 读取 selfLid，确保关联账号群聊中基于回复的 @ 提及能再次触达机器人。

Telegram / 论坛话题

修复了当 Telegram 省略论坛元数据时，对 #General 话题（topic 1）的路由恢复问题，覆盖了原生指令、交互回调、入站消息上下文及回退错误回复。

Discord / 网关监管

将网关错误处理集中到一个生命周期托管的监管器，使早期、运行中和销毁阶段的 Carbon 网关错误得到统一分类，不再作为进程级崩溃抛出。

Discord / 超时

入站 Discord Worker 在回复开始前超时时，会发送可见的超时提示，涵盖已创建的自动线程目标和排队运行的顺序。

ACP / 直接对话

• 即使块文本已提前流式发送，当最终 TTS 未产生音频时，仍确保投递一条终态 ACP 结果。
• 跳过多余的空文本终态合成请求。

Telegram / 出站错误

• 保留可操作的 403 错误详情（含成员关系/封禁/踢出信息）。
• 将「机器人不在群组内」归类为永久投递失败，避免 Telegram 持续重试无效对话。

Telegram / 图片

预检 Telegram 图片尺寸和宽高比规则，当图片元数据无效或不可用时自动回退为文件发送，解决了 PHOTO_INVALID_DIMENSIONS 报错导致图片上传失败的问题。

Slack / 运行时默认值

• 精简了 Slack 私信回复开销。
• 恢复了 Codex 自动传输。
• 收紧了 Slack 和网络搜索的运行时默认配置，涉及私信预览线程、缓存作用域、警告去重及网络搜索显式开启逻辑。

关注“鲸栖”小程序，掌握最新AI资讯