OpenClaw 更新分析 — 2026-05-13
概览
过去24小时共 5 个提交(1 feat/security + 1 fix + 3 test)。Jesse Merhi 贡献了重要的 ClawHub 插件安装安全检测 功能,steipete 修复了 Gemini preview 模型引用问题并清理测试 mock 重复。
重要变更
1. `87eb450` — Check ClawHub trust before plugin installs (#81307) 🎯🎯 重要安全特性
- 作者: Jesse Merhi, merged via squash
- 类型: feat (security)
- 影响模块: 插件系统 / ClawHub 集成
- 分析: 在插件安装前检查 ClawHub trust(可信来源验证)。这是对插件供应链安全的关键加固,确保只有来自可信源的插件才能被安装。Merged via squash(squash merge),PR #81307。
- 用户影响: 插件安装更安全,阻止恶意或来源不明的插件通过 ClawHub 安装。对日常使用 OpenClaw 的用户来说是重要的安全增强。
2. `3bc433c` — fix(config): normalize per-agent Gemini preview refs 🎯
- 作者: steipete
- 类型: fix
- 影响模块: 配置系统 / Google Gemini 集成
- 分析: 标准化每个 agent 的 Gemini preview(预览)模型引用。接续 5月9日的
fix(google): canonicalize gemini pro dynamic ids,继续完善 Gemini 模型标识符处理。 - 用户影响: 配置 Gemini preview 模型作为 agent 级别默认模型时引用更稳定,减少模型路由异常。
3. 测试 mock read 去重 (3 commits)
- 作者: steipete
- 影响模块: inbound claim log、Google video download、Xiaomi speech fetch
- 分析: 三个不同模块的 mock read 去重。steipete 统一不同服务的测试 mock 模式,消除重复读取。
- 用户影响: 无直接用户影响,测试代码更干净。
架构观察
- 供应链安全增强: #81307 的 ClawHub trust check 是重要的安全防御措施,防止恶意插件安装。
- Gemini 持续修复: 5月9日→10日→13日,连续出现 Gemini 相关修复,包括 ID 规范化、auth profile、per-agent 引用。
- 测试质量提升: 本周已有数十个 test tighten/dedup 提交,测试基础设施在系统性改善。
对我们的影响
- 🛡️ 插件安全增强: ClawHub trust 检查让插件安装更安全,降低了供应链攻击风险。
- Gemini 配置更稳定: 我们如果使用 Gemini 模型作为 agent 默认模型,引用会更可靠。
原始 commits
| SHA | 信息 | 作者 |
|---|---|---|
| 2385615 | test: dedupe inbound claim log mock read | steipete |
| 21aaa9e | test: dedupe google video download mock read | steipete |
| 6b4333a | test: dedupe xiaomi speech fetch mock read | steipete |
| 3bc433c | fix(config): normalize per-agent Gemini preview refs | steipete |
| 87eb450 | Check ClawHub trust before plugin installs (#81307) | Jesse Merhi |