v2026.3.2 — 安全縱深防禦 + 插件 SDK 重構

發布日期：2026 年 3 月 3 日定位：安全強化 + 架構升級 Breaking Changes：4 項

整體概況

v2026.3.2 是一次以安全強化為核心驅動力的版本。包含 4 項 Breaking Changes、超過 130 項修復，以及 SecretRef 全面覆蓋（64 個端點）、Sandbox 逃逸防護、Prompt Spoofing 中和等系統性安全加固。同時帶來 PDF 原生工具、Telegram 預設串流等重要功能。多項漏洞由安全研究員 @tdjackey 回報，可以看出 OpenClaw 正在做系統性的安全審計。

核心亮點

1. SecretRef 全面覆蓋（64 個端點）

將 SecretRef 支援擴展至所有使用者提供的憑證端點，包含 runtime collectors、openclaw secrets 規劃/套用/稽核流程、onboarding SecretInput UX。未解析的 refs 在活躍表面直接失敗，非活躍表面提供非阻塞診斷。

2. 安全強化套組

這個版本修復了多項關鍵安全漏洞，強烈建議立即升級。

安全面向	修復內容
Prompt Spoofing	停止將佇列事件注入使用者角色提示，中和 `[System Message]` 偽造標記
Sandbox Bootstrap	拒絕解析至工作區外的 symlink/hardlink 別名引導種子
ACP Sandbox 繼承	對 `sessions_spawn` + `runtime="acp"` 強制 fail-closed 守衛
fs-safe 寫入	改用同目錄暫存 + 原子 rename + inode/hardlink 重驗證
Skills 壓縮檔	統一 tar.gz/tar.bz2 安全檢查，強制大小限制
Gateway 路由	插件路由路徑變體解碼至規範不動點，異常時 fail closed

3. PDF 原生工具

新增為一級工具：原生支援 Anthropic 和 Google PDF provider，非原生模型會自動走擷取備援路徑。可設定 agents.defaults.pdfModel、pdfMaxBytesMb、pdfMaxPages，另有 diff 工具的 PDF 輸出支援。

4. Telegram 串流預設啟用

channels.telegram.streaming 預設從 off 改為 partial。DM 使用 sendMessageDraft 做私人預覽串流，推理/回答預覽在 DM 推理串流模式中分離。

5. 插件生態系統架構升級

channelRuntime 暴露至 ChannelGatewayContext
新增 api.runtime.stt.transcribeAudioFile(...) 轉錄 API
新增 runtime.system.requestHeartbeatNow(...)、runtime.events.onAgentEvent
Hook 系統新增 message:transcribed、message:preprocessed

Breaking Changes

變更	影響
`tools.profile` 預設為 `messaging`	新安裝不再預設啟用 coding/system 工具
ACP dispatch 預設啟用	需暫停者須明確設定 `acp.dispatch.enabled=false`
Plugin SDK 移除 `api.registerHttpHandler(...)`	必須改用 `api.registerHttpRoute(...)`
Zalo Personal 重建	需執行 `openclaw channels login --channel zalouser`

重要技術方向

Defense-in-Depth

至少 10 項安全修復橫跨 sandbox、prompt、SSRF、webhook、檔案系統、設定備份等面向，可見系統性安全審計的徹底程度。

插件 SDK 成熟化

移除舊 HTTP handler API、新增結構化路由註冊、暴露 STT/事件訂閱/心跳 runtime API——插件架構正逐步從「基礎擴展」發展為「完整平台」。

重要修復

Webchat NO_REPLY token 洩漏：內部控制 token 在串流中部分顯示（如顯示 NO）
Sessions 鎖 PID 回收：Linux PID 回收導致虛假鎖逾時，新增 starttime 比對
Slack Bolt 4.6+ 崩潰：移除無效事件註冊，修正啟動錯誤
Exec Approvals 路徑匹配：如 /usr/bin/g++ 等含 regex 元字符的路徑匹配修復