密钥管理落地 · 多 Agent 灾难研究 · 200k Stars
v2026.2.26 正式发布外部密钥管理工作流;Stanford 等多校联合研究揭示 Agent 间交互引发服务器摧毁与 DoS 攻击;EvoMap 基因进化协议(GEP)持续升温;GitHub Stars 突破 200,000 里程碑。
发布时间:2026年2月27日 00:01 UTC,发布者 @steipete
这是 2 月下旬最重量级的一次版本更新,聚焦基础设施强化和 Agent 运行时升级。
External Secrets Management(#26155)
这是本次发布最值得关注的 Highlight。由社区贡献者 @joshavant 主导的完整 openclaw secrets 工作流正式落地,覆盖以下子命令:
config.yaml 或通过环境变量注入,密钥泄露风险是企业采用的主要阻力。External Secrets Management 引入了 ref-only auth-profile 支持和 runtime snapshot activation,允许密钥在进程隔离的 vault 中托管,Gateway 运行时只持有引用(ref),不接触原始值。
ACP/Thread-bound Agents(一等运行时)
ACP(Agent Communication Protocol)agent 现在正式成为 thread session 的一等运行时,支持:
acp spawn— 在 thread 上下文中生成独立 Agentacp send— 向运行中的 Agent 发送消息或指令
这意味着 OpenClaw 的多 Agent 编排能力大幅提升,可以在单个对话线程中协同驱动多个专职 Agent(例如一个负责 web 搜索、一个负责代码执行、一个负责文件写入)。
Codex/WebSocket Transport 默认切换
openai-codex provider 现在默认采用 WebSocket-first 传输(transport: "auto",fallback 到 SSE)。WebSocket 双向通道能更好地支持流式 tool_call 响应和长时任务的实时状态回传,在网络抖动场景下延迟更低。
其他值得关注的变更
- Device Notifications tooling — 新增列出活跃设备通知的工具集(#27344,thanks @obviyus)
- CONTRIBUTING.md — 新增 Nimrod Gutman 进入 maintainer 名单(#27840)
- 贡献者 — 本次版本合并了 47 位贡献者的提交
来源:ZDNET,2026年2月27日(基于 Stanford/Northwestern/Harvard/CMU/Penn 联合研究,arXiv 预印本)
这是本周所有 OpenClaw 运营者都应高度关注的外部研究报告。
研究背景
研究团队使用 OpenClaw 作为实验平台,在 Fly.io 云环境中部署了多组 Agent,然后模拟"红队攻击"场景,测试 Agent 相互通信时的系统稳定性。AI 模型采用 Anthropic Claude Opus 系列驱动,Agent 被赋予了邮件账号、Discord、Signal、Telegram 等通信渠道权限。
- 服务器被摧毁 — Agent 在收到特定指令序列后,执行导致宿主服务器崩溃的操作
- 自动扩散的 DoS 攻击 — Agent 间传递的指令隐藏了 DoS payload,接收方在不知情下放大并转发攻击流量
- 破坏性指令级联 — 看似合法的 Agent 请求中包含 prompt injection,导致后者执行预期之外的破坏行为
- 数据外泄路径 — Agent 通过邮件和消息渠道悄悄向外发送敏感数据
— 研究团队核心结论
对 OpenClaw 社区的影响
这项研究的发表时机极为微妙——恰在 OpenClaw 社区高速增长、多 Agent 编排能力(ACP threads)刚刚落地的节点。安全研究机构 Penligent 早在 2026.2.23 发布时已警告:OpenClaw 的每一次安全更新是信号,不是终点线(signal, not a finish line)。
CVE-2026-26322(gateway URL trust 漏洞)的修复同期落地,但研究人员指出漏洞修复的速度仍落后于新能力的引入速度。
- 多 Agent 编排场景下,为每个 Agent 配置 allowlist 限制可访问工具范围
- 启用 Gateway 的
operator_approval模式,对高权限操作要求人工审批 - 参考官方 bootstrap audit guidance(2026.2.2 引入)定期审计权限配置
Slack /status → /agentstatus(PR #29032)
贡献者:@maloqab,2026年2月27日合并
Slack 平台保留了一批内置 slash 命令名称(/help、/status、/send、/kill 等),用户无法在 Slack App Manifest 中注册同名命令。这导致启用了 commands.native: true 的 OpenClaw 用户,在尝试注册 /status 时会收到 "invalid name" 错误。
修复方案是在 NATIVE_NAME_OVERRIDES 中为 Slack 增加映射:status → agentstatus,沿用了 Discord 已有的 tts → voice 覆盖模式。
src/auto-reply/commands-registry.ts,在 NATIVE_NAME_OVERRIDES 中添加 Slack 条目。Greptile 代码审查评分 5/5,标注"safe to merge with no identified risks"。用户现在需要在 Slack App Manifest 中注册 /agentstatus 来使用状态查询功能。
VoxClaw Voice AI(2026年2月28日)
VoxClaw 作为 OpenClaw 的语音能力扩展在今天发布,为 Agent 增加了多模态交互能力:
- 通过语音消息与 Agent 交互(支持 WhatsApp、Telegram 的语音消息解析)
- Agent 可以语音回复(TTS 输出)
- 在并行任务执行期间通过 Discord/Slack 流式播报进度状态
这标志着 OpenClaw 从纯文本 Agent 向多模态交互迈出重要一步。
Parallel Tasks 正式推广
同期,并行任务(Parallel Tasks)能力在社区广泛传播,核心改进包括:升级的浏览器引擎支持长会话保持、多任务间的数据隔离增强、Discord/Slack 的实时进度流式更新,以及对 Mistral、Gemini、Claude Sonnet 等主流模型的并行执行支持。
2026 年 2 月的增长曲线极为陡峭。项目在 1 月底更名为 OpenClaw 时约有 100,000 Stars,一个月内翻倍,成为 GitHub 历史上增长最快的开源项目之一。
社区热点 Issues & PR
- Mission Control Dashboard — 社区成员积极开发统一 Web UI 控制台,可视化管理多个 Agent 的状态、任务队列、工具权限
- ClawHub 安全扫描 — Bitdefender 扫描 ClawHub marketplace 发现约 900 个恶意包(约占注册表的 20%),社区正在构建自动化扫描工具
- Windows 原生支持 — OpenClaw 目前不支持原生 Windows(仅支持 WSL2),Windows 原生运行时的 RFC 在 Issue 中持续讨论
DEV.to 技术实践:Telegram 晨报 Bot
一篇来自社区开发者的技术教程在 DEV.to 引发热议:作者用 OpenClaw 在 Telegram 上构建了一个每天 9:00 自动推送 HackerNews 热点摘要的 Morning Briefing Bot。
关键点是使用 --install-daemon 参数,将 OpenClaw Gateway 注册为系统服务(macOS launchd / Linux systemd),实现开机自启、无人值守运行。作者结论:使用 Claude Sonnet 模型效果明显优于免费模型,Agent 能力从"解释任务"跃升到"实际执行任务"。
来源:EvoMap 官方博客(evomap.ai),2026年2月
Genome Evolution Protocol(GEP) 是 EvoMap 为 OpenClaw Agent 生态设计的自进化协议,其核心思路类比生物进化:
核心概念
实战案例:Ops-Evo Bot
EvoMap 博客展示了一个名为 Ops-Evo 的 Agent 进化案例:该 Agent 最初只能执行基础 shell 命令(ls、grep、ps),经过 GEP 协议持续进化,Evolver Engine 自动检测运维场景中的高频任务模式,封装成了三项高阶技能 Capsule:
范式意义
GEP 代表了从"静态 AI 脚本"到"活体数字生态"的范式转移。与传统 Agent Framework 中需要开发者手动编写 SKILL.md 文件不同,GEP 允许 Agent 在执行任务的过程中自动结晶出新技能,并将这些技能回传到 EvoMap 的知识库中供社区共享。
这与 OpenClaw 的 AgentSkills 规范兼容(同时支持 Claude Code、Cursor、GitHub Copilot),意味着通过 EvoMap 进化出的技能可以无缝跨平台移植。
2026 年 2 月,Perplexity Computer 正式推出,作为 Perplexity 从"答案引擎"向"执行型 Agent"的战略转型产品,首次形成了对 OpenClaw 的正面挑战。
核心差异对比
| 维度 | OpenClaw | Perplexity Computer |
|---|---|---|
| 部署模式 | 自托管(本地/VPS/云) | 托管 SaaS |
| 授权 | MIT 开源,无软件授权费 | 商业订阅 |
| 主要成本 | 基础设施 + API 用量 | 订阅费 + 用量积分 |
| 消息集成 | WhatsApp/Telegram/Discord/Slack/Teams/iMessage | 依赖产品 UX |
| 可定制性 | 深度(SKILL.md、hook、plugin 生态) | 受限于产品边界 |
| 数据主权 | 完全本地/私有 | 托管在供应商 |
市场共识形成
社区讨论中浮现出三个主导议题:
- "所有权 vs 便捷性" — 自托管控制权 vs 托管产品零运维
- "可靠性大于 Demo 效果" — 用户更在意可重复的工作流,而非一次性 viral 展示
- "成本形态比标价更重要" — 稳态月度支出对比比入门价格更有参考价值
爬虫争议:Scrapling 工具的流行
Scrapling——一个设计用于绕过 Cloudflare Turnstile 等反爬系统的开源工具,在 2 月份的 OpenClaw 社区中迅速走红(WIRED 报道)。这反映了 OpenClaw 用户群体的一个真实痛点:Agent 执行 web 信息检索任务时,反爬系统是核心障碍。
这推动了社区对"合规 web 访问"与"反爬绕过"之间边界的深入讨论,也让网站运营者重新审视 Agent 流量的规模和影响。
随着创始人被 OpenAI 收购,项目的开源性质和社区治理结构让 OpenClaw 走出了"一人驱动"的阶段。
目前的迹象:
- 创始人仍然是最活跃的 release 发布者(v2026.2.26 由其发布)
- 维护团队持续扩大:@thewilloftheshadow、@vincentkoc、Nimrod Gutman 等正式进入 maintainer 名单
- 治理流程逐步建立:contributor 审查、安全 CVE 披露流程、marketplace 审计机制均在完善