【灵思导读】104位开发者联手,为全球最火开源AI助手OpenClaw带来重大升级:首次为AI Agent配备「操作系统」级别的任务控制面板。让AI能自主管理、排定任务、懂得拒绝——Agent竞赛进入下半场。
一个月前,eSentire的专家Alexander Feick曾警告:OpenClaw最根本的短板不是缺少某个功能,而是缺乏一个能定义细粒度信任边界的控制平面。
他的潜台词很清晰:AI助手能力越强,失控风险越大——因为缺乏有效管控。
当时OpenClaw刚创下纪录:仅用约60天就以250k Star超越React十年积累,成为GitHub史上Star数最高的软件项目。
但挑战随之而来:一个没有调度核心、没有权限管控的AI Agent平台,跑得越快,出问题就越严重。
如今,Feick所指的「控制面板」缺失问题终于有了解决方案。
OpenClaw创始人Peter Steinberger在X上正式宣布了v2026.3.31-beta.1发布。
这次更新,让OpenClaw的后台任务调度从零散记账升级为统一控制面。
SQLite背后的雄心
后台任务控制面成型
此前,OpenClaw的「后台任务」几乎算不上真正在工作。
那时的后台任务仅仅是ACP层面的记账工具:子任务完成后可能找不到父会话;cron定时任务与CLI后台执行各自为政;任务中途崩溃后基本无法恢复。
这次v2026.3.31-beta.1完成了一项关键改造:将ACP、subagent、cron、后台CLI四种执行体全部统一到一个基于SQLite的任务账本中。
这带来了几个方面的提升:
第一,所有后台任务现在享有统一的生命周期管理,内置心跳监测、丢失任务自动恢复、审计与维护功能。
第二,引入task flow注册表。开发者首次可以用openclaw flows list|show|cancel来查看和控制任务流。多任务编排有了「父记录」概念,不再是一堆散落的孤儿进程。
第三,被阻塞的任务可以持久化阻塞状态,在同一个flow上干净地重试,而不会碎片化成新任务。
子任务的结果也能回溯到父会话:Agent在后台完成复杂任务后,知道该去哪个对话线程汇报。
更重要的是,这不只是一次功能增强。
Kubernetes将容器调度统一到控制平面上,而OpenClaw此次做法十分类似:把四种不同的后台执行路径统一到一个SQLite账本上。
区别在于,Kubernetes调度的是容器,而OpenClaw调度的是AI Agent的任务。
创始人警告
最好尽快升级
此版本包含6个破坏性变更,其中4个直接涉及安全。
最重要的一条:ACP的危险工具审批机制被重写。
之前的逻辑是按工具名覆盖:将工具名加入白名单即自动放行。
问题在于:名为「read_file」的工具,背后可能隐藏着间接执行代码的能力,单看名称无法判断真实风险。
现在改为按语义类别审批:只有窄范围的只读操作(如搜索、读取)可自动批准,间接具备执行能力的工具以及控制平面工具,都必须经用户明确确认。
这项改动针对的是ACP审批链路,而非OpenClaw全部审批系统的统一切换,但它堵上了此前最大的权限漏洞。
这还不是全部。
插件安装现在默认为fail-closed:如果内置安全扫描发现危险代码,安装直接失败。
想强制安装?
你必须手动加上:dangerously-force-unsafe-install这个刻意设计得很长的参数。
Gateway认证全面收紧:trusted-proxy不再接受混合共享token配置;node命令在配对审批通过前保持禁用;node触发的任务被限制在缩减后的可信表面上。
还有诸多细节修复:
防止Docker端点、TLS信任根、Python包索引、编译器include路径被请求级环境变量覆盖;堵住caffeinate和sandbox-exec的审批绕过;检测awk、find、xargs、make等命令载体中的内联eval……
来自AntAISecurityLab的贡献遍布整个更新日志,涉及路径解析竞态、图片炸弹提前拒绝、跨域重定向cookie泄露、沙盒符号链接逃逸——每一条都是实战中挖出的攻击面。
Steinberger在发布beta时反复强调:本次更新主要是安全加固,所以最好立刻升级。
多模态、多端爆发
全球化Agent触手延伸
除了以上骨架和神经系统,还有一些「肌肉」层面的改动,主要体现在渠道覆盖的更新上。
它们释放出一个清晰信号:OpenClaw的Agent触手正在向全球化延伸。
其中一个变化,是QQ Bot作为捆绑渠道插件正式加入。
支持多账号配置、SecretRef凭证管理、斜杠命令、提醒功能、媒体收发。
WhatsApp的更新看似很小,但设计意图值得玩味:Agent现在可以用emoji对消息进行表情回应——用❤️代替一段文字回复。
这让与机器人的聊天更接近「自然对话」。
Matrix加入了流式响应:部分回复现在会原地更新同一条消息,而不是每个片段发一条新消息。
LINE支持了图片、视频、音频外发。
Microsoft Teams加入了基于Graph的成员信息查询。
还有CJK全家桶修复。
上下文裁剪终于不再低估日文和中文Extension B汉字的长度;
内存搜索加入了三元组分词和短CJK子串回退;
沙盒浏览器安装了fonts-noto-cjk:截屏里的中日韩文字终于不再是豆腐块;
TTS自动检测CJK主导文本并切换中文语音;
Markdown渲染修复了裸链接吞噬相邻CJK文字的问题。
这些「小修复」叠加的效果,表明OpenClaw正在从一个英语开发者的极客玩具,向「全球化多语言基础设施」的目标迈进。
它想要的已不只是GitHub Trending,而是将目光投向了更广阔的全球市场。
343k Star背后
将野蛮生长纳入制度化轨道
除了技术细节,还有一个值得注意的数字:这个beta版本有104位贡献者参与。
steipete此前就感慨过OpenClaw面临的「幸福的烦恼」:
PR增长速度惊人——一天曾提交约600个commit,因此他需要一个AI来扫描每个PR和Issue并去重。
网友jonahships_说:「Claw能不断在自身之上构建新能力,你只需在Discord里跟它说话就行。未来已来。」
网友rovensky的判断更为尖锐,认为OpenClaw才是真正可能干掉一大批SaaS公司的东西。
因为它可以被hack,更重要的是可以self-hack,而且可以本地部署。这会碾压传统SaaS。
数据层面:截至2026年3月,已有172家创业公司基于OpenClaw生态构建产品,月生态收入达36.1万美元。
ClawHub技能市场从2月初的5700个技能增长到13729个。月访问量2700万,月活用户200万。
但热闹背后,安全问题也日益严峻。
5000多个open issues。
一天3100个commit的审核压力。
一位Meta高管的Agent误删了整个邮箱。
一个计算机系学生发现他的Agent自作主张在交友网站上创建了资料。 安全研究者披露过零点击劫持漏洞……
毫无疑问,开源社区的速度已超过任何一家公司的产品迭代节奏。速度若失去秩序,就将成为灾难。
这次v2026.3.31-beta.1的任务控制平面和安全收紧,本质上是在用架构手段,将这种野蛮生长纳入制度化轨道。
技术平民化的浪潮
一个月前,Feick警告要把控制平面嵌入OpenClaw这样的工具,而不是事后补充。
市场会把OpenClaw推到远远领先于治理框架的位置——除非我们把控制平面嵌入进去,而非当作事后补充。
这次v2026.3.31-beta.1升级,正好回应了这一点:将首个AI任务控制平面嵌入到了AI Agent的治理体系中。
后台任务控制面解决调度问题;ACP语义审批收紧权限管控;多渠道能力继续扩展。这三件事叠加,表明OpenClaw的治理能力在此版本中又有了实质性的增强。
从项目历史看,OpenClaw用60天超过了React十年的Star积累。
这次更新,意味着OpenClaw这个项目正在从「爆红」阶段进入「基础设施化」阶段。
一个开源社区,短短两个月就自发构建出AI Agent领域的第一个任务控制平面,这件事本身也在改写行业的游戏规则。
产品该如何定义,以往这个问题的答案属于大公司的产品经理。
如今,这个问题,正在被更多像GitHub这样的开源社区上的全球贡献者所接管。
一场技术平民化的趋势,正伴随着AI浪潮,更加强烈、不可逆转地到来。
———— END ————
灵思极智旗下“极智系列”三款AI智能应用
