OpenClaw 2026.4.9更新：记忆系统大升级，安全修复扎堆

🚀 本次更新概览

OpenClaw 2026.4.9 于 4 月 9 日发布，这次更新可谓内容丰富：记忆系统大幅升级、多个安全漏洞修复、Android/iOS 平台改进、以及 25+ 个问题修复。感谢 15+ 位社区贡献者的参与！

🧠 记忆系统：REM Backfill 来了

这次更新的重头戏是记忆系统的全面升级：

• REM Backfill：可以回填历史记忆，让旧的日记内容重新进入 Dreams 和持久记忆，无需第二个记忆栈
• 日记视图：新增结构化日记视图，支持时间线导航、回填/重置控制、可追溯的梦境摘要
• Scene Lane：带晋升提示的基础场景通道，支持分阶段回填信号
• 记忆晋升：短期记忆可以自动晋升到长期记忆

简单来说，你的历史数据不会白写，可以重新”激活”成为有用的长期记忆。

🔒 安全修复：4 个关键修复

这次修复了多个安全问题，涉及浏览器、环境变量、节点执行等：

1. 浏览器 SSRF 安全检查增强

重新运行被阻止的目标安全检查，防止浏览器交互绕过 SSRF 隔离。之前点击、评估、钩子触发的导航可能绕过检查，现在已经修复。

2. .env 文件安全

阻止不受信任的工作区 .env 文件中的运行时控制变量、浏览器控制覆盖和跳过服务器的环境变量，拒绝不安全的 URL 样式浏览器控制覆盖说明符。

3. 节点执行输出净化

将远程节点执行事件（exec.started、exec.finished、exec.denied）标记为不受信任的系统事件，净化节点提供的命令/输出/原因文本，防止远程节点输出注入受信任的系统内容。

4. 依赖审计

强制升级 basic-ftp 到 5.2.1 以修复 CRLF 命令注入漏洞，并更新生产依赖中的 Hono 和 @hono/node-server。

📱 平台改进

Android 配对恢复稳定性

• 清除新 QR 扫描时的过时设置代码认证
• 从新配对引导操作员和节点会话
• 引导移交后优先使用存储的设备令牌
• 应用后台时暂停配对自动重试

Android 配对现在更加可靠，一次扫描即可恢复。

iOS 版本固定

iOS 发布版本现在固定到明确的 CalVer（在 apps/ios/version.json 中），保持 TestFlight 迭代在相同短版本上，直到维护者有意提升下一个网关版本。

🔧 其他重要修复

🛠️ 提供者改进

• OpenAI：默认缺失的 reasoning effort 为 high，同时支持显式运行时推理级别
• Ollama：允许使用原生 api: “ollama” 路径的 Ollama 模型在 /think 设置为非关闭级别时显示思考输出
• Codex CLI：将 OpenClaw 的系统提示传递给 Codex 的 model_instructions_file 配置覆盖
• Provider Auth：允许提供者清单声明 providerAuthAliases，以便提供者变体可以共享环境变量、认证配置文件、配置支持的认证和 API 密钥入门选择

📝 总结

OpenClaw 2026.4.9 是一个安全优先的版本，修复了多个潜在的安全漏洞，同时带来了记忆系统的重大升级。

建议所有用户尽快更新，特别是：

• 使用浏览器功能的用户（SSRF 修复）
• 使用 .env 文件的用户（环境变量安全）
• 使用 Android 配对的用户（稳定性恢复）
• 使用 Matrix/Slack 网关的用户（连接稳定性）

更新命令：npm update -g openclaw

安全无小事，及时更新是王道。

GitHub 发布页面：https://github.com/openclaw/openclaw/releases