OpenClaw 2026.3.23 紧急修复：补全缺失控制台，深度重构 Qwen 计费与 UI 无障碍体验

在经历了爆火以来的首次长时间暂停（长达 10 天未更新）后，OpenClaw 团队于前天（3 月 22 日）和昨天（3 月 23 日）连续发布了两个重量级版本。

• 地址：https://github.com/openclaw/openclaw/releases

特别是前天的 2026.3.22 版本，因打包疏忽导致控制台缺失，被社区戏称为“草台班子”式发布。昨天发布的 2026.3.23 版本迅速响应，不仅修复了这一离谱问题，更带来了涉及计费模式、UI 无障碍、CSP 安全策略等多维度的深度重构。

此次更新内容庞大，涉及多项破坏性变更（Breaking Changes），建议所有用户在升级前仔细阅读以下指南。

紧急修复：2026.3.23 版本亮点

今日发布的补丁版本主要解决了昨日的构建失误，并优化了核心体验：

1. 控制台回归

修复了 2026.3.22 版本中因打包遗漏导致控制台无法打开的问题。现在用户可以正常访问 Web UI 进行配置和监控。

2. 模型提供商增强

• DeepSeek 插件化：新增 DeepSeek 提供者插件，支持更灵活的模型接入。
• Qwen 按量付费：为阿里云 ModelStudio/Qwen 添加了标准的按量付费 DashScope 端点，与现有的 Coding Plan 端点并列， provider 组统一重标记为 Qwen。
• OpenRouter 优化：支持自动定价，并优化了 Anthropic 模型的思考顺序处理。

3. UI 与安全重构

• 无障碍升级：整合按钮基元，优化 Knot 主题为黑红配色方案，严格符合 WCAG 2.1 AA 对比度标准。
• 交互优化：将圆角滑块替换为离散档位，为诊断、CLI、密钥、ACP/MCP 等部分添加配置图标，提升操作精度。
• CSP 安全加固：为 index.html 中的内联 <script> 块计算 SHA-256 哈希，并纳入 script-src CSP 指令。默认阻止内联脚本，仅允许显式哈希的引导代码，大幅提升前端安全性。
• 多平台修复：修复了 Discord、Slack、Matrix 及 Web UI 的已知连接问题。

⚠️ 提示：在你的智能体替你升级之前，请先手动执行升级，以避免自动化脚本可能遇到的兼容性问题。

npm install -g openclaw@latest

📦 生态重塑：2026.3.22 版本深度解析

昨日的版本虽然出现了打包插曲，但其引入的功能变革是现象级的，标志着 OpenClaw 从单一工具向平台化生态的跨越。

1. ClawHub 插件市场上线

• 优先策略：openclaw plugins install <package> 命令现在优先从 ClawHub 获取符合 npm 安全名称的包。仅当 ClawHub 不存在该包或版本时，才回退至公共 npm 仓库。
• 意义：建立了官方认证的插件分发渠道，提升了插件的安全性和发现效率。

2. 浏览器与 MCP 架构升级

• Chrome MCP 重构：移除了旧的 Chrome 扩展中继路径和捆绑资源。
  • 迁移指南：运行 openclaw doctor --fix 可自动将主机本地浏览器配置迁移到新架构。
  • 保留特性：Docker、无头模式、沙箱及远程浏览器流程仍沿用原始 CDP 协议。
• 等待标签页：新增 Chrome MCP 等待标签页功能，提升自动化稳定性。

3. 模型与搜索能力扩展

• 新模型支持：接入 MiniMax M2.7、GPT-5.4-mini/nano，并支持按智能体推理计费。
• 搜索聚合：集成 Exa、Tavily、Firecrawl 三大搜索引擎，增强智能体的信息检索能力。
• 图像生成标准化：移除捆绑的 nano-banana-pro 技能包装器，统一使用核心 image_generate 工具。推荐配置：

  "agents.defaults.imageGenerationModel.primary": "google/gemini-3-pro-image-preview"
  

4. 关键破坏性变更与迁移指南

本次更新包含大量破坏性变更，开发者需重点关注以下迁移路径：

🔌 插件开发 (SDK & API)

• SDK 入口变更：新的公共入口为 openclaw/plugin-sdk/*。旧的 openclaw/extension-api 已被移除，无兼容性垫片。
• 消息发现机制：废弃 listActions、getCapabilities 等方法，强制要求使用 ChannelMessageActionAdapter.describeMessageTool(...) 进行共享消息工具发现。
• Matrix 插件重写：新增基于官方 matrix-js-sdk 的 Matrix 插件，旧版用户需遵循迁移指南重新配置。

🗂️ 配置与环境变量

• 变量重命名：移除所有 CLAWDBOT_* 和 MOLTBOT_* 前缀的环境变量，统一更改为 OPENCLAW_*。
• 状态目录迁移：废弃 .moltbot 目录。
  • 操作：请将 ~/.moltbot 手动移至 ~/.openclaw，或显式设置 OPENCLAW_STATE_DIR。
  • 自动检测：不再支持旧版状态的自动回退检测。

🛡️ 安全与执行沙箱

• 构建工具防护：在执行环境中阻止 JVM 注入、glibc 可调利用及 .NET 依赖劫持。限制 Gradle 初始化脚本重定向，仅允许覆盖可阻止项。
• Webhook 加固：
  • 拒绝缺少提供者签名头部的请求。
  • 预认证正文预算降至 64 KB / 5 秒。
  • 限制单 IP 并发预认证请求，防止缓冲区攻击。
• 命令批准逻辑：将 time 命令视为透明分发包装器，批准逻辑绑定至内部可执行文件而非包装器路径。

💬 通讯协议优化

• Discord 命令部署：切换至 Carbon reconcile 模式，避免 Discord 重启导致斜杠命令频繁变更。
• Matrix 去重机制：在网关重启间对入站事件进行持久去重，防止消息重放，同时保留未查看事件的待处理队列。
• Android 联系人搜索：转义 SQL LIKE 通配符（% 和 _），修复搜索 "100%" 或 "_id" 时的匹配错误。

建议

OpenClaw 此次“双版本连更”虽然过程跌宕起伏，但实质上完成了一次从底层架构到上层生态的全面洗牌。

• 对于普通用户：请务必执行 openclaw doctor --fix 以迁移浏览器配置，并重新登录以同步新的状态目录。
• 对于插件开发者：需立即着手迁移 SDK 调用方式，适配新的 describeMessageTool 接口，并更新环境变量前缀。
• 对于企业用户：新的 CSP 策略和沙箱加固显著提升了安全性，但需测试现有自定义脚本的兼容性。

升级命令：

# 全局升级
npm install -g openclaw@latest

# 修复配置与迁移
openclaw doctor --fix

# 验证版本
openclaw --version
# 应显示 2026.3.23 或更高