OpenClaw v2026.6.6：更快更安全、支持Claude Fable 5

这次OpenClaw 2026.6.6版本，就是一个把“差不多安全”变成“没得商量安全”的大翻修。你以前可能遇到过的情况——比如某个工具执行卡住了、审批超时了、系统觉得“那就算了吧先通过再说”——现在全部改成“超时就拒绝，没商量”。这不是修修补补，这是把安全默认值从“宽松模式”直接拨到了“严苛模式”。

你想想看，以前的安全边界就像你家防盗门，锁芯确实转了，但如果你使劲拧或者等的时间够长，门锁有时候会自己弹开。现在OpenClaw做的事情是：把门锁换成那种只要你没拧到位、或者在规定时间内没确认身份，系统就默认你是坏人，直接给你锁死，连报警都帮你打了。这叫fail closed，就是“失败就关死”，不是“失败就先放你进去再说”。

这种变化覆盖了多少地方？我给你数一下：转录文件、沙盒绑定、主机环境继承、MCP的标准输入输出、Codex的HTTP访问权限、本地搜索策略、高权限发送者的检查、已删除代理的ACP绕过漏洞、回环工具、Discord的审核机制、Teams的群组操作。整整十几个地方，全部加上了更紧的闸门。

你要是不信，可以看这次更新里的编号 #91529 到 #91763 那一串，十几个PR全是冲着安全去的。而且这些改动不是OpenClaw自己闭门造车，是社区里一帮人一起干的，比如 @joshavant、@pgondhi987、@mmaps 这些开发者，全都在往这个方向使劲。

所以这一章的核心结论，就是下面几章的根基：OpenClaw v2026.6.6把安全边界从“建议遵守”升级成了“强制执行”，任何审批操作如果超时就默认拒绝，不会再给你“先放行再追责”这种后门。

那这个结论意味着什么？意味着接下来你要看的Telegram、iMessage、MCP、控制界面、AI模型这些模块的改进，全都是在这个“更严格的安全地基”上盖起来的楼。没有这个地基，后面的消息安全、权限控制、工具调用全都是空中楼阁。

先别急着往下翻，你再品一下这个逻辑：安全边界收紧之后，最先需要适配的是什么？是消息通道。因为消息通道是你和OpenClaw之间的“对话窗口”，如果这个窗口本身不安全，那外面的围墙再高也没用。所以下一章你会看到，Telegram和iMessage做了大量“让发送更安全、更不容易丢消息、更不容易被截胡”的改动。

但这里有个反直觉的地方：安全边界收紧了，按理说消息发送会变慢、变卡、更容易失败对吧？但这一版OpenClaw偏偏还让Telegram的流式文本在工具调用后继续存活，让/compact命令能正常工作，让未授权的私信不会污染上下文缓存。这说明什么？说明他们在做一件事：把安全的“闸门”往前移，而不是在消息发送的路上到处设卡。

你可以这么理解：以前的安全检查像在高速公路上每隔几公里就设一个收费站，你停一次慢一次。现在他们把收费站改成了ETC门架——你感觉不到它在检查，但它一直在算你的权限，一旦发现你没授权，不是把你拦在下一个出口，而是直接通知系统“这个车所有后续操作全部拒绝”。

这就是为什么这一版能同时做到“更安全”和“更流畅”。不是技术上开了挂，是把安全检查从“事后追责”改成了“事前默认拒绝”，从“跑起来再查”改成了“查完才让你跑”。

好，现在安全地基打完了，接下来我们看看Telegram和iMessage这两层楼是怎么盖起来的。

Telegram这次不是修修补补，是给你换了条新水管，连水里的气泡都给你处理好了

安全边界收紧之后，消息通道必须跟着升级，不然就成了“外面铜墙铁壁，里面纸糊窗户”。Telegram这次更新的核心，就是把“消息能不能发出去、发给谁、发完后能不能续上”这一整套逻辑全部重写了。

你以前用OpenClaw接Telegram的时候，最头疼的是什么？我猜是两件事：第一，话题路由经常跑偏，明明是给A代理的指令，结果跑到B代理那里去了；第二，工具调用之后，你正在看的流式文本直接断了，像追剧追到一半突然黑屏。

这次版本怎么解决的呢？先说第一个问题。他们加了“账户范围的话题路由”，什么意思？就是每个Telegram账号下的不同话题，都能精准找到自己对应的那个代理。你不需要手动指定，系统会根据话题的scope自动判断。就像一个快递分拣中心，以前是看个大概就扔到片区，现在是扫描每个包裹上的二维码，直接送到你家门口那个快递柜。

第二个问题更关键：流式文本在工具调用后仍然存在。你可能不理解这个技术细节有多麻烦，我给你打个比方。你正在跟AI聊天，AI说“我来帮你查一下天气”，然后它调用了天气工具，这时候传统的做法是：工具调用后，之前的聊天上下文就断了，AI需要重新加载一遍刚才的对话才能继续。这个过程就像你打电话的时候突然换了个手机，你得重新拨号、重新说一遍刚才说了什么。

现在OpenClaw的做法是：工具调用不打断流式文本，就像你打电话的时候同时用微信发了个定位，电话没挂，通话还在继续。AI查完天气之后可以直接接着刚才的话说“哦对了，刚才说到哪儿了？查到的天气是晴天”。这种体验上的提升，不亚于从断点续传到无缝衔接。

再说第三个你没注意到但是很重要的改进：/compact命令现在可以从通用入口运行了。什么是compact？简单说就是压缩对话历史，防止上下文太长把AI搞糊涂。以前这个命令只能在特定入口用，现在任何入口都能触发。就像你以前只能在厨房倒垃圾，现在每个房间都有垃圾桶了。

还有一块容易被忽略的改动：未授权的私信文本不会脱离缓存和提示词上下文。这句话翻译成人话就是：如果有人给你发私信但没权限，系统不会把这条消息放进短期记忆里，更不会喂给AI当上下文。这是一个很聪明的安全设计——不光是拦下来，而且是连“被拦下来这件事”都不让AI知道，防止泄密或者被钓鱼。

这章最后的结论是：Telegram通道已经从“能发就行”升级到了“安全地发、准确地发、发完后还能续上”。这个结论直接引出了下一章我们要聊的iMessage——因为iMessage比Telegram更难搞，它不是一个云端服务，它是跑在你本地的苹果消息系统。

那为什么Telegram改完了才轮到iMessage？逻辑递进是这样的：Telegram是云端消息，改起来相对简单，API是公开的；iMessage是本地消息，需要跟苹果的封闭生态打交道，改起来更麻烦。所以OpenClaw的开发顺序是：先解决简单的、高频的Telegram，积累经验，然后再啃iMessage这块硬骨头。下一章你就知道，iMessage的“持久回声标记”和“空闲批准发现”到底是怎么解决那些让人抓狂的老问题的。

iMessage就像一条老水管，冻住了敲两下能用，但OpenClaw直接给你换了带保温层的新管子

iMessage比Telegram难搞，因为它是本地服务。你想想看，Telegram的消息是跑在云端服务器上的，出了问题Telegram自己会重试、会缓存、会给你发错误码。但iMessage不是，iMessage的消息是跑在你自己Mac上的，它依赖系统服务、依赖网络配置、依赖你能不能登录Apple ID。这就好比你用微信聊天（云端）跟用短信聊天（本地）的区别——短信收不到你根本不知道是手机欠费了还是信号不好还是运营商炸了。

这次OpenClaw对iMessage的改进，核心是四个字：持久、可靠。具体来说，他们加了这么几个东西：始终开启的入站重启、持久的回声标记、阻止流式传输、空闲批准发现、强化的出站传输、以及可操作的入站启动诊断。

别被这些术语吓到，我一个一个给你翻译。

“始终开启的入站重启”是什么意思？就是如果iMessage的入站监听服务挂了（比如你Mac重启了、网络断了、或者系统抽风了），OpenClaw会自动把它再拉起来，不需要你手动重启整个机器人。就像你家里WiFi断了，以前你得自己拔电源再插上，现在路由器自己会检测、自己会重连，你连它断过都不知道。

“持久的回声标记”这块是个大工程。你可能遇到过这种情况：你在iMessage里跟OpenClaw说了一句话，它回复了，但过了一会儿同样的消息又出现了一次，好像它失忆了一样。这就是典型的“回声”问题——消息处理完了但没有标记，系统以为没处理过，又处理了一遍。OpenClaw现在的做法是：每条消息处理完后，会打一个“已处理”的标记，这个标记是持久化的，哪怕你重启电脑、重启OpenClaw，这个标记还在。就像快递签收后你会在单子上盖个章，这个章是擦不掉的。

“阻止流式传输”看起来像是退步，实际上是进步。iMessage不像Telegram那样原生支持流式输出（就是AI一个字一个字往外蹦的效果），所以强行做流式反而会导致消息错乱。OpenClaw这次直接关掉了iMessage的流式传输，改成完整生成完再一次性发送。这样做的好处是：消息不会断、不会乱、不会出现半句话。你牺牲了一点点实时感，换来了绝对的稳定性。

“空闲批准发现”是专门治那种“AI问我同意吗，我等了半天它以为我默认同意了”的毛病。以前如果你不回复，系统可能会超时后自动批准。现在是：你不回复，系统就卡在那儿等着，直到你明确说同意或者拒绝。而且系统能检测到“用户是不是真的空闲了”，如果是真的离线或者忙，它不会傻等，而是会给你发个提醒。

“强化的出站传输”改的是消息发送的底层机制。以前发iMessage，就是调用系统API，发出去就不管了。现在OpenClaw会确认消息是不是真的到了苹果服务器、是不是真的被对方接收了、如果失败了怎么重试。这就从“我发了”升级到了“我确认对方收到了”。

最后一块是“可操作的入站启动诊断”。这个最贴心。以前你启动OpenClaw，如果iMessage连不上，它可能就打印一行看不懂的错误日志。现在是：启动的时候会主动检测iMessage能不能用、Apple ID登录了没有、消息权限开了没有、然后给你一个清晰的结果和一个修复建议。就像你的车启动时仪表盘会告诉你“胎压不足，请去加气”，而不是只亮一个看不懂的故障灯。

这章的结论是什么呢？iMessage已经从“能用、但偶尔抽风”变成了“稳定、可恢复、可诊断”。这个结论直接对接下一章的浏览器和MCP改进——因为浏览器自动化和MCP连接，比iMessage更复杂，它们需要跟外部进程、WebSocket、CDP这些底层协议打交道。如果iMessage这种相对封闭的本地服务都能搞定，那浏览器和MCP的改进就更值得期待了。

浏览器和MCP这次不是加功能，是让你不用再跟WebSocket和CDP玩猜谜游戏了

iMessage这种本地服务都能被收拾得服服帖帖，那浏览器自动化这种更复杂的东西，这一版OpenClaw肯定也下了狠手。事实就是这样，这次对浏览器和MCP的改进，核心就一句话：让你不用再跟底层协议斗智斗勇，把那些奇奇怪怪的连接问题全都自动化处理掉。

先说浏览器的改进。最大的变化是：现在可以附加到现有的CDP会话了。CDP是Chrome DevTools Protocol的缩写，就是浏览器用来跟外部工具通信的底层协议。以前你用OpenClaw操作浏览器，必须由OpenClaw自己启动一个浏览器实例，就像你每次做饭都得自己买一口新锅。现在你可以直接附加到一个已经打开的浏览器窗口上，就像你直接拿起灶台上那口已经热好的锅。

这个功能听起来简单，但实际上非常有用。比如你已经在浏览器里登录了某个网站，现在想让OpenClaw帮你自动化操作，以前你得重新登录一遍，因为OpenClaw开的是新浏览器。现在不用了，直接附加到现有会话，登录状态、cookies、所有东西都还在。

然后是他们加了一个“发现的WebSocket验证”机制。什么意思呢？浏览器自动化很多时候是通过WebSocket连接的，但WebSocket地址是动态生成的，你很难手写配置。现在OpenClaw会自动发现浏览器的WebSocket地址，并且会验证这个地址是不是真的能用，不是随便抓到一个就连。就像一个导航软件，以前你输地址它就直接带你走，现在它会先检查这条路是不是封了、有没有在修，确定能走了才出发。

“默认配置文件的cdpUrl处理”也是一个看似不起眼但救命的功能。很多人的Chrome有多个配置文件（比如工作配置、个人配置），每个配置文件的远程调试地址不一样。现在OpenClaw能自动处理默认配置文件的cdpUrl，你不用每次手动指定。就像智能家电能自动识别你家是哪台冰箱、哪台洗衣机，不用你每次都配对。

“更安全的浏览器输出边界”听起来很技术，但说白了就是：浏览器里跑的内容（比如网页截图、HTML代码）不会随便泄露到外部。以前可能你在浏览器里打开了某个敏感页面，然后OpenClaw的日志里就记下了这个页面的内容。现在边界更严格，敏感内容只能在浏览器沙盒里待着，出不来。

说完浏览器，再看MCP。MCP是Model Context Protocol的缩写，是OpenClaw用来跟外部工具服务器通信的协议。这次他们加了一个“Streamable HTTP回环传输”，这是一个非常底层的改进，但解决了一个大问题。

以前MCP有两种传输方式：stdio（标准输入输出）和SSE（Server-Sent Events）。stdio适合本地进程通信，SSE适合远程通信，但SSE有连接数限制、断连后不好恢复。Streamable HTTP是什么？就是把HTTP请求做成了可以流式传输的，既能像HTTP那样简单可靠，又能像SSE那样推送数据。而且“回环”的意思是这个传输可以在本机自己跟自己通信，不需要真的走网络，性能更好。

另外他们还修了OAuth/SSE的授权处理。之前如果你用OAuth登录某个服务，然后通过MCP的SSE传输数据，授权状态可能会乱掉。现在是正确的OAuth token会跟着SSE连接一起走，不会出现“登录了但MCP说没登录”的尴尬情况。

最后是“更广泛的架构兼容性”。这句话翻译成人话就是：以前某些MCP服务器跟OpenClaw连不上，是因为协议版本有微小差异（比如字段名大小写不对、时间格式不一样），现在OpenClaw能兼容更多变种，遇到奇怪格式不会直接崩，而是会尝试适配。

这一章的结论是：浏览器和MCP已经从“需要手工调参的精密仪器”变成了“插上就能用的工具”。这个结论很自然地把我们引向下一章——控制界面的启动和回复速度。为什么？因为如果你前面的消息通道、浏览器自动化、MCP连接都很快很稳定，但控制界面本身启动慢、第一次回复要等半天，那体验还是烂。所以下一章他们专门优化了控制界面的首次回复延迟，而且做得非常聪明。

控制界面启动快不快，决定了你是优雅地点菜还是饿着肚子等半小时

前面几章我们聊了安全、消息、浏览器、MCP，这些都是“后端”或者“通道”层面的东西。但普通用户每天接触最多的是什么？是控制界面。就是你打开网页、输入指令、看AI回复的那个界面。这个界面的启动速度和首次回复速度，直接决定了你愿不愿意继续用这个工具。

以前OpenClaw控制界面的问题是啥？启动慢、首次回复卡。你打开界面，转圈圈转半天，等终于进去了，发第一条消息，又要等半天才能看到回复。这种感觉就像你去吃饭，坐下点菜等了20分钟，菜上来了，但第一口吃完之后又要等10分钟才能吃第二口。你心里肯定在想：这是吃饭还是罚站？

这次OpenClaw是怎么解决的呢？
四个招：缓存模型元数据、移除启动时的目录等待、延迟加载斜杠命令、加入首次事件跟踪和慢回复诊断。

先说“缓存模型元数据”。你每次启动控制界面，系统都需要知道当前能用哪些AI模型、每个模型的参数是什么、支持什么能力。这些信息以前是每次启动都重新获取一遍，就像你每天早上到公司都要重新问一遍“打印机在哪、茶水间在哪、我工位在哪”。现在OpenClaw把这些信息缓存起来，第二次启动直接读缓存，秒开。就像你入职第一天领了公司地图，第二天就不用再领了。

“移除启动时的目录等待”这块更有意思。以前启动控制界面的时候，系统会先扫描一遍所有目录（比如插件目录、工具目录、配置目录），确认所有东西都在才启动。这个扫描在目录多的时候很慢。现在的做法是：先启动界面，让你看到东西，然后在后台慢慢扫目录。就像你进餐厅先坐下看菜单，服务员再去后厨确认食材够不够，而不是让你在门口等半小时确认完食材才让你进门。

“延迟加载斜杠命令”也是同样的思路。斜杠命令就是你在聊天框里打“/”然后出来的那一堆命令列表。以前启动的时候就加载完所有命令，现在是你真的按了“/”才加载。这就像以前超市把仓库里所有东西都摆到货架上，你进去慢慢逛；现在是你要什么，服务员才去仓库拿。你说不上哪种更好，但对于启动速度来说，延迟加载绝对更快。

最后一块是“首次事件跟踪和慢回复诊断”。这个不是直接提速，而是帮你找到慢的原因。如果某次回复特别慢，控制界面会记录下整个流程（从你发消息到AI开始处理，到工具调用，到最后回复），然后告诉你慢在哪一步。就像一个跑步教练，你跑得慢的时候他会告诉你“起跑慢了”“中途加速不足”“冲刺太早”，而不是只说一句“你跑得不够快”。

这章的核心结论是：控制界面已经从“启动慢、首次回复慢、出了问题不知道慢在哪”变成了“启动快、回复流畅、慢的时候有诊断”。这个结论直接导出了最后一章——AI模型提供商的支持。为什么？因为控制界面快不快的另一个决定因素是AI模型本身。如果模型响应慢，界面再快也没用。所以OpenClaw这一版同时在模型提供商这块做了大量优化，特别是新增了对OpenRouter OAuth和Claude Fable 5自适应思维的支持。

AI模型从“你猜我想什么”变成了“我知道你在想什么”，Gemma 4还能回放自己的推理过程

控制界面快了，但还有一个更根本的问题：AI模型本身的思考方式。以前你跟AI对话，它给你一个答案，但你不知道它是怎么得出这个答案的。它可能想了很多步，走了很多弯路，最后只给你一个结果。这个过程就像你问一个朋友“你觉得我应该买这双鞋吗”，他想了十分钟然后说“买”，但你不知道他想了什么。

这次OpenClaw v2026.6.6在AI模型支持上做了三件大事：加入Claude Fable 5的自适应思维、支持OpenRouter OAuth一键接入、保留Gemma 4的推理回放。

先说Claude Fable 5的自适应思维。什么叫自适应思维？就是AI会根据问题的难度动态调整自己的思考深度。简单问题，它想几步就给你答案；复杂问题，它会在内部多绕几圈、多验证几次，再给出答案。这个东西之前也有，但不是自适应的，是固定的——要么每次都想很多，浪费时间和算力；要么每次都想很少，复杂问题就答不好。

自适应思维就像一个有经验的外卖骑手：近距离单子，他直接骑车过去；远距离单子，他会先看看哪条路不堵、哪个小区好进，甚至先打个电话问客户“你具体在几号楼”。以前是所有单子都按照远距离单子的策略跑，累死了。现在是系统自动判断，省力又高效。

这块的一个关键点是：自适应思维是在OpenClaw这一层支持的，不是你必须换到Claude Fable 5这个模型才能用。也就是说，你用的其他模型，如果OpenClaw能判断出问题复杂度，也可以给模型传一个“建议思考深度”的参数。这个设计很聪明——不绑定特定提供商，而是做一个通用能力层。

第二件事是OpenRouter OAuth。OpenRouter是一个聚合了很多AI模型的平台，你可以通过它一个API调用几十种模型。但以前的问题是：你需要自己去OpenRouter申请API key、配置到OpenClaw里、权限管理很麻烦。现在OpenRouter OAuth直接内嵌到OpenClaw的提供商设置里了，你点一下授权，OpenClaw就能自动拿到权限，不需要手动复制粘贴API key。

这就像以前你每进一个商场都要办一张会员卡，现在商场之间打通了，你刷一次脸就能进所有商场。

第三件事是Gemma 4推理回放。Gemma 4是Google出的开源模型，它有一个特性：能记录自己推理的每一步。OpenClaw这次把这个回放功能保留下来了，你可以在UI里看到模型是怎么一步步得出答案的。比如你问“北京和上海哪个更大”，模型会先想“北京面积多少、上海面积多少”、然后“面积不等于城市规模”、然后“常住人口呢”、然后“城市建成区呢”，最后给出答案。你可以看到它做对了哪几步、做错了哪几步、是不是漏掉了什么信息。

这个功能对调试和信任都很重要。你不信AI的答案？你把它的推理过程打开，看看它是不是在胡说八道。就像你请了一个助理，他每次给你方案的时候都会附上一份“我是怎么想到这个方案的”笔记。

最后还有几个小改进：Codex会话保持正确的压缩所有权、本地模型跳过守护进程审核、动态工具进度条更清晰。Codex那块的压缩所有权是什么意思？就是当对话太长需要压缩时，谁负责压缩、压缩到什么程度、压缩后谁持有数据，这些所有权关系现在更清晰了，不会出现“我以为你压、你以为我压、最后没人压”的情况。

本地模型跳过守护进程审核，是因为本地模型本身就跑在你的电脑上，不存在数据泄露到云端的问题，所以不需要经过那个“安全守护进程”的额外审核。这就像你自己家冰箱里的食物不需要过安检。

动态工具进度条的改进则是视觉上的，以前工具调用的时候进度条可能跳来跳去，现在归一化了，更清晰、更稳当。

OpenClaw v2026.6.6 版本发布，强化安全边界（审批超时默认拒绝）、提升 Telegram 和 iMessage 消息发送的安全性与稳定性、新增 Claude Fable 5 自适应思维和 OpenRouter OAuth 支持、优化控制界面首次回复延迟，并改进浏览器 CDP 会话附加、MCP Streamable HTTP 传输及 Gemma 4 推理回放功能。