4 月那篇写的是「QQBot 双双上线」;进入 5 月,OpenClaw 的节奏明显加快:几乎每天都有预发布/正式 tag,月末还有 2026.5.26–5.28 三连发。对中文自托管用户来说,5 月不是「又多了几个渠道」,而是 安全边界收紧、QQ/飞书体验修补、语音与移动端加强、Codex/Copilot 运行时扩展 叠在一起的一个月。
本文把 5 月更新收成五条主线 + 一张时间轴 + 升级验收清单,方便你对照 4 月合集 和 CNCERT 安全自检 做决策。
版本号与功能以 OpenClaw GitHub Releases 与当日 CHANGELOG 为准;下文不逐条罗列每个 beta tag。
5 月时间轴(按「对用户有感」排序)
| 时间段 | 代表版本 | 一句话 |
|---|---|---|
| 5 月上旬 | 2026.5.4–5.7 | 语音会议桥、Gateway 启动瘦身、插件外置迁移提示;QQ 相关会话 ID 修复 |
| 5 月中旬 | 2026.5.14–5.22 | Control UI / Cron 体验;设置向导中英本地化;Transcript 采集打底;子 Agent 默认只读 AGENTS.md+TOOLS.md |
| 5 月 17 日前后 | 2026.5.17 | 非 loopback Gateway 默认拒绝启动(Docker 镜像同步收紧);xAI Grok OAuth;安全审计可抑制已知项 |
| 5 月下旬 | 2026.5.26 | 大版本体感:Transcript 统一、通道生产化、Rastermill 替代 Sharp、QQ 媒体路径、移动端点赞审批 |
| 5 月末 | 2026.5.27–5.28 | 安全 CLI 加固;GitHub Copilot Agent Runtime、Codex Supervisor 插件、Skill Workshop 文档、Claude Opus 4.8 |
同月 Hermes 侧则是 v0.13.0(5/7)→ v0.14.0(5/16) 两次「Foundation 级」发布(见 v0.14 解析)。OpenClaw 5 月是高频小步 + 月末集中能力,Hermes 是低频大步——选型时不要混用升级节奏。
主线一:安全与 Gateway(5 月最值得先升级的原因)
3 月 CNCERT 风险提示之后,5 月 changelog 里 Security / Gateway 条目密度很高,和「装完就能用」的一键镜像需求直接相关:
5.17:Docker / 非本机绑定默认 fail-closed
官方变更写明:非 loopback 的 Gateway 启动若缺少显式共享密钥或可信代理认证,应拒绝启动;Docker 默认命令不再绕过配置校验。对你意味着:别把「能连上」当成「配对了」——云主机上若仍监听 0.0.0.0:18789 且无 token,升级后可能直接起不来(这是好事)。
5.26–5.27:边界加固清单(节选)
| 方向 | 5 月进展(摘要) |
|---|---|
| 默认鉴权限流 | 远程非浏览器 HTTP/WebSocket 失败时启用 rate limit(loopback 豁免) |
| 内容边界 | Browser 快照 SSRF 校验、系统事件防伪造、ClickClack 发送方白名单 |
| CLI/运行时 | 拒绝危险命令包装、非 admin 的设备角色配对、禁止无认证 Tailscale 暴露 |
| 审计 | openclaw security audit 可抑制已接受的发现项;webhook token 与 Gateway 密码复用会告警 |
实操:升级后务必跑:
openclaw security audit --deep
并对照本站 10 条 CNCERT 自检(loopback、18789 不暴露公网、插件来源、版本线)。
公开漏洞修复版本请以 release 说明为准;不要停留在 2026 年 4 月初的镜像。若 audit 报 Critical,先修再挂生产 IM。
主线二:中文通道——QQ、飞书、Telegram
4 月补全的是「能不能接 QQ」;5 月更多是 「接上了会不会半路断、媒体发不出去」。
QQ Bot(国内用户高频)
changelog 中两处对中文部署最关键:
OPENCLAW_HOME与HOME不一致时,出站媒体路径曾静默失败(Docker / 多用户常见)——5.26 起按OPENCLAW_HOME解析媒体路径。- 慢本地模型回复被 5 分钟 watchdog 截断——超时改为跟 agent/provider 配置对齐,长推理不再莫名断线。
若你用云厂商 OpenClaw 镜像,请确认环境变量:业务数据目录、OPENCLAW_HOME、实际运行用户 三者一致,并在一键装完后做安全自检。
飞书 / 企业协作
5 月持续有 Feishu 相关修复:wiki 数字 ID 精度、流式 CardKit 卡片重复/丢字、动态 Agent 等。企业飞书群场景建议在测试群验证 流式卡片 + @ 规则 再切生产。
Telegram
5 月大量 commit 落在 Telegram:论坛话题名缓存、/stop@bot 路由、轮询健康、进度草稿与完整答案回退等。若你同时开 QQ 与 Telegram,不要共用同一套「群 @ 才回复」假设——各 channel 配置键不同,以 openclaw.json 里对应段为准。
主线三:语音、移动端与 Control UI
语音与 Talk
- 5.4:Google Meet / Voice Call 与 Twilio、Gemini 实时语音桥改进。
- 5.26:Talk 可在 Web UI / Discord 语音中检视、引导、取消;唤醒词容错提升;Discord 语音播放与模型选择器优化。
- 5.28:iOS Pro UI、托管 push relay、Talk 标签页与 Gateway 会话联动加强。
若你关心「开车/开会hands-free」,5 月更新集中在 实时链路稳定性,而不是新增一个国内超级 App 渠道。
Control UI / 设置向导
- 5.17:设置向导与 bundled channel 流程支持 英 / 简中 / 繁中(
#80645)。 - 同月:Cron 工作区、Settings 分区、会话列表搜索与分页、用量显示等。
对中文用户:首次 openclaw onboard 或 configure 时可选中文向导,降低「全英文面板」门槛;但 模型名、provider 错误 仍可能英文,需结合日志排查。
主线四:Agent 运行时——Codex、Copilot、Skill Workshop
5 月末版本把「写代码的 Agent」和「托管个人助手」进一步拆开:
| 能力 | 5.28 方向(摘要) |
|---|---|
| GitHub Copilot Agent Runtime | Copilot 作为可选 agent runtime 路径 |
| Codex Supervisor 插件 | 委托 Codex 工作流的监管插件包 |
| Skill Workshop 文档 | 治理下的 Skill 创建、审批、恢复流程文档化 |
| Claude Opus 4.8 / 多模态 | 模型目录与 Fal Krea 图像 schema 等扩展 |
| Workboard | Agent 间任务交接与跟踪工具 |
同时 5.26 起强调 Transcript 统一:会议摘要、WebChat、CLI/TUI 回放走同一套 transcript 路径——长期运维时备份 ~/.openclaw 下会话与 transcript 目录更重要。
和 Hermes 的差异:Hermes 5 月卖点是 pip install、hermes proxy、Curator/中文 UI(见 v0.13/v0.14 文);OpenClaw 5 月是 插件化 runtime + 超频发版。你若需要「一个命令跑通国内 QQ + 记忆闭环」,两边都要单独验证,不能只看 Star 数。
主线五:性能、安装与运维体感
| 主题 | 5 月变化 |
|---|---|
| Gateway 启动 | 多版 lazy-load 插件/通道/Canvas,减少冷启动重复扫描 |
| 镜像处理 | Rastermill 替代 Sharp(5.26),减轻依赖与 WhatsApp 回退路径 |
| 安装/更新 | Alpine 支持、min-release-age 绕过、Windows 计划任务与栈大小修复 |
| Cron | 默认 maxConcurrentRuns: 8;cron run --wait 阻塞等待单次执行 |
| Doctor | 更积极修复外置 channel 插件、Codex 路由、损坏的 cron/session 行 |
运维建议:
openclaw --version
openclaw doctor
openclaw update # 或按你安装渠道:npm / 镜像 / git
openclaw gateway restart
openclaw security audit --deep
同月对照:OpenClaw 5 月 vs Hermes 5 月
| 维度 | OpenClaw(5 月) | Hermes Agent(5 月) |
|---|---|---|
| 发版节奏 | 多日多 tag,月末 5.26–5.28 集中 | v0.13 → v0.14 两次大版本 |
| 中文界面 | 设置向导/i18n 加强 | v0.13 起 Gateway/CLI 中文 |
| 安装 | npm/镜像/Doctor 修复链 | v0.14 PyPI pip install |
| 安全叙事 | Gateway 默认收紧 + audit | v0.14 12×P0 安全修复 |
| 路径/超时/环境变量修复 | v0.13 QQBot 对齐主流渠道 |
选型提示(与 4 月文一致,只更新时间点):
- 要 渠道最全、社区最大、跟官方日更:OpenClaw,但需接受自行审计与安全基线。
- 要 pip 安装、proxy/handoff、中文 CLI、记忆/进化叙事:Hermes v0.14 起更值得单独评估。
- 已有 4 月 OpenClaw 生产实例:优先升到 5.26+ 并跑 security audit,再挂 QQ/飞书生产流量。
升级验收清单(可带走)
升级前:记录 openclaw --version、gateway.bind、18789 监听地址、auth 模式
[ ] 1 版本 ≥ 你关心的安全公告最低版本(查 GitHub Release)
[ ] 2 openclaw doctor 无阻塞项(外置插件/channel 已修复)
[ ] 3 ss -tlnp | grep 18789 → 127.0.0.1(非 0.0.0.0)
[ ] 4 openclaw security audit --deep → 无未处理 Critical
[ ] 5 QQ/飞书/Telegram 各发一条测试消息 + 一张测试图(如有)
[ ] 6 长回复场景:慢模型不被 5 分钟误杀(QQ 用户重点)
[ ] 7 OPENCLAW_HOME 与容器/多用户 HOME 一致(Docker 重点)
[ ] 8 备份 ~/.openclaw 与 transcript 相关目录
升级后备注:_________________________________
5 月之后往哪看
- 6 月 tag 已出现在上游(如 2026.6.x beta);生产环境建议 稳定 channel + 定期 audit,不要盲目追每个 pre-release。
- 站内续读:CNCERT 10 条自检 · Hermes v0.14 · 4 月 QQBot 双框架
以官方为准
- 版本列表:github.com/openclaw/openclaw/releases
- 逐条变更:CHANGELOG.md
- 安全专题:Gateway 安全文档
本文归纳的是 5 月 changelog 的用户向摘要,不构成安全测评结论;企业合规请另行评估。
数据来源:OpenClaw CHANGELOG.md(2026.5.x 段落)、GitHub Releases 页面(截至整理日)。Hermes 版本信息见 NousResearch/hermes-agent Releases。