新智元报道
全球最火热的开源AI助手OpenClaw迎来了重要更新,104位开发者携手合作,在此版本中首次为AI Agent引入了类似「操作系统」的任务管理界面,使AI能够自主管理和调度任务。
在上个月底,网络安全公司eSentire的一名专家Alexander Feick曾发出警告,让整个AI Agent社区感到忧虑:
OpenClaw最大的缺陷在于缺乏一个细粒度的信任边界控制平面。
他之所以提出这样的观点,是因为在OpenClaw的使用量大幅超越常规时意识到了这个问题。
在当时,OpenClaw以惊人的速度,在短短60天内从零起步达到25万Star,并迅速超过了React长达十年的努力成果,成为了GitHub上最热门的项目之一。
然而,随之而来的是挑战:缺乏调度核心和权限控制机制的AI Agent平台运行得越快,出现问题的概率也就越大。
最近,Feick所指出的「控制面板」缺失的问题终于得到了解决。
OpenClaw项目创始人Peter Steinberger(@steipete)在社交平台上正式发布了OpenClaw v2026.3.31-beta.1版本。
此次更新标志着后台任务调度从零散记录转向了统一控制层面的转变。
在此次更新之前,OpenClaw是如何处理「后台任务」工作的?
实际上,它几乎没有真正意义上的工作流程。
之前的版本中,后台任务仅是ACP(Agent Client Protocol)中的记账工具。
子任务完成之后可能找不到父会话;cron定时任务和CLI后台执行各自独立运行;一旦任务中途崩溃,恢复机制几乎不存在。
后台任务控制面成形
此次更新则将ACP、subagent、cron以及后端CLI四种执行体全部整合到一个SQLite账本中。
这意味着:
所有后台任务现在有了统一的生命周期管理。心跳检测、丢失任务恢复、审计与维护功能均被内置;
开发者可以使用openclaw flows list|show|cancel命令来查看和控制任务流,使得多任务编排不再是一堆散落的任务。
另外,子任务的结果能够追溯到父会话:当AI Agent在后台完成复杂任务后,知道应该向哪个对话线程报告结果。
更重要的是,这一变化不仅增强了功能。
Kubernetes将容器调度统一到了一个控制平面,而OpenClaw此次的更新则与此类似——它把四种不同的执行路径统一到一个SQLite账本上。
不同之处在于,Kubernetes调度的是容器,而OpenClaw调度的是AI Agent的任务。
此次版本包含6个重大变更,其中4项直接与安全有关。
最重要的变化之一是ACP的危险工具审批机制被重写。
之前的方案依据工具名进行覆盖:将工具名加入白名单即可放行。
显然这种策略存在隐患:某些看似无害但实际具有间接执行代码能力的工具,仅凭名称无法判断其风险。
现在改为基于语义类别审批:只有明确标记为只读操作(如搜索、读取)的工具才能自动批准,其余需要用户显式确认。
创始人警告
最好赶快升级
此改动针对的是ACP审批链路,并非OpenClaw整个安全体系的切换,但它有效地堵住了最大的权限漏洞。
插件安装现在默认设置为在发现危险代码时直接失败,除非添加了特意设计得较长的安全参数。
Gateway认证全面加强:不再接受混合共享token配置;node命令在配对审批通过前保持禁用状态;node触发的任务被限制在其缩减后的信任范围内执行。
阻止Docker端点、TLS信任根等请求级环境变量覆盖,同时封堵了一些常见的绕过机制和潜在的安全风险。
AntAISecurityLab贡献了大量安全相关的改进,包括路径解析竞争条件、图片炸弹早期拒绝策略等等。
Steinberger在发布beta版本时多次强调:此次更新主要集中在安全性增强上,因此升级十分必要。
这还不是全部。
除了技术上的进步外,OpenClaw还在努力扩展其全球影响力。
想强行装?
这些渠道覆盖的改进表明,OpenClaw正逐步向全球化方向迈进。
QQBot作为新的捆绑插件正式加入。
还有这些细节修复:
支持多账号配置、密钥管理、斜杠命令等功能;
WhatsApp更新虽小,但意图明显:Agent现在可以使用表情符号回应消息,这使得与机器人的对话更加自然;
Matrix增加了流式响应功能,部分回复将直接在原消息上更新;
多模态、多端爆发
LINE支持了更多媒体文件的发送选项。
Microsoft Teams加入了基于Graph的身份验证信息查询机制;
CJK全家桶修复工作也已完成,确保中文、日文和韩文等亚洲语言能够正常显示与处理。
这些细节上的改进表明OpenClaw正从一个英语开发者的小众项目向着全球多语种基础设施转型。
它不再仅仅追求在GitHub趋势榜上的排名,而是着眼于更为广泛的国际市场。
伴随着这些更新的是104位贡献者的辛勤工作以及每日数百个提交的代码量。
这些数字背后是项目迅速发展的势头和开源社区强大的生命力;
随着项目的增长,安全问题也越来越受到重视。例如,在某天就有3100次commit审核的压力;一位Meta高管的Agent误删了整个邮箱等等。
面对这些问题,此次更新通过引入任务控制平面和强化权限管理等手段来提升系统的整体安全性;
一个月前,Feick曾警告要将控制平面嵌入到OpenClaw这样的工具中,而不是事后补充。
他指出市场会将此类工具有时推至远远领先于治理框架的位置。除非我们主动将其纳入其中,否则只能当作事后补救措施;
此次v2026.3.31-beta.1升级正是对此观点的回应:首次在AI Agent治理体系中嵌入了任务控制平面。
后台任务管理面解决了调度问题;ACP语义审批收紧权限管控;多渠道能力继续扩展,这些措施共同提升了OpenClaw的整体治理水平。
从项目的历史来看,OpenClaw仅用60天就实现了超越React十年积累的Star数目标;
此次更新标志着它正从一个“爆红”的阶段过渡到成为基础设施化的一部分。
这一成就不仅改变了AI Agent领域的发展格局,也体现了由全球贡献者共同推动的产品定义方式的变化趋势。
随着技术平民化的加速发展,更多开源社区的参与者将参与到产品设计和开发的过程中。
它想要的已不再是GitHub Trending,而是已将视角投向更广阔的全球市场。
343k Star背后
把野蛮生长装进制度化轨道
除了技术细节之外,还有一个值得玩味的数字:这个beta版本有104位贡献者参与。
steipete此前就在推特上感慨过OpenClaw面临的「幸福的烦恼」:
PR以不可能的速度增长:一天曾提交了大约600个commit,因此他需要一个AI来扫描每个PR和Issue并去重。
网友jonahships_说:「Claw能不断在自身之上构建新能力,你只需要在Discord里跟它说话就行。未来已经到了。」
网友rovensky的判断更尖锐,认为OpenClaw才是真正可能干掉一大批SaaS公司的东西。
它才是真正会干掉一大批SaaS创业公司的东西:不是ChatGPT。因为它可以被hack,更重要的是可以self-hack,而且可以本地部署。这会碾压传统SaaS。
数据层面:截至2026年3月,已有172家创业公司基于OpenClaw生态构建产品,月生态收入达$361K。
ClawHub技能市场从2月初的5700个技能增长到13729个。月访问量2700万,月活用户200万。
但热闹之下,安全问题也日益严峻。
5000+的open issues。
一天3100个commit的审核压力。
一位Meta高管的Agent误删了整个邮箱。
一个计算机系学生发现他的Agent自作主张在交友网站上创建了资料。 安全研究者披露过零点击劫持漏洞……
毫无疑问,开源社区的速度已经超过任何一家公司的产品迭代节奏。速度如果失去秩序,就将是灾难。
这次v2026.3.31-beta.1的任务控制平面和安全收紧,本质上是在用架构手段,把这种野蛮生长装进制度化的轨道。
技术平民化的浪潮
一个月前,Feick警告要把控制平面,嵌入OpenClaw这样的工具,而不是事后补充。
市场会把OpenClaw这样的工具推到远远领先于治理框架的位置:除非我们把控制平面嵌入进去,而不是当作事后补充。
这次v2026.3.31-beta.1升级,刚好是回应了这一点:把首个AI任务控制平面嵌入到了AI Agent的治理体系中。
后台任务控制面解决调度问题;ACP语义审批收紧权限管控;多渠道能力继续扩展,这三件事叠加在一起,显示OpenClaw的治理能力在这个版本里又有了实质性的增强。
从项目历史看,OpenClaw用60天超过了React十年的Star积累。
这次更新,意味着OpenClaw这个项目正在从「爆红」阶段进入「基础设施化」阶段。
一个开源社区,短短两个月就自发构建出了AI Agent领域的第一个任务控制平面,这件事本也在改写行业的游戏规则。
产品该如何定义,以往这个问题的答案属于大公司的产品经理。
如今,这个问题,正在被更多像GitHub这样的开源社区上的全球贡献者所接管。
一场技术平民化的趋势,正伴随着AI浪潮,更加强烈、不可逆转地到来。
参考资料:
https://x.com/steipete/status/2039076488897876462?s=20
https://github.com/openclaw/openclaw/releases
https://thenewstack.io/openclaw-github-stars-security/