OpenClaw 最新資訊 3 月 16 日版：連發版本、恢復版上線，兩條新安全 PR 浮出

如果你是這幾天才回頭看 OpenClaw，第一個感受大概不會是「它又更紅了」，而是這個專案終於開始長出一點成熟產品的樣子。從 2026 年 3 月 9 日到 2026 年 3 月 16 日，OpenClaw 不只連續發了多個版本，還把備份、配對安全、插件信任、模型密鑰持久化這些原本有點枯燥的問題，直接推到檯面上。

這篇文章只看最近 7 天，也就是 2026-03-09 到 2026-03-16 這個時間窗。結論先說在前面：OpenClaw 最近最值得注意的，不是某個新模型或某個炫技功能，而是它正在從「很會演示的熱門 Agent」往「真的有人打算長期跑、長期維護」的方向走。這種變化通常意味著兩件事會同時發生，功能變多，風險也更具體。

2026 年 3 月 9 日到 3 月 16 日，OpenClaw 發生了什麼

先看重點：

• 2026-03-12 發布 v2026.3.11，補上 WebSocket origin 驗證，還把 Ollama onboarding 和多模態記憶索引往前推了一步
• 2026-03-13 發布 v2026.3.12，一次塞進新版 dashboard、OpenAI 與 Anthropic 的 fast mode，以及一長串安全修補
• 2026-03-14 發布 v2026.3.13-1，這不是普通小更版，而是官方為了修復破掉的 v2026.3.13 tag 和 release 路徑，臨時做出的 recovery release
• 2026-03-15 有使用者回報 Telegram 的 env SecretRef 會讓 openclaw doctor 與 openclaw update 卡住，代表升級鏈路還有真實摩擦
• 2026-03-16 官方倉庫又出現兩條新的安全 PR，一條處理 Firecrawl 擴充的 SSRF 風險，一條處理 OpenShell 將整個 host 環境變數漏進 SSH 子程序的問題

把這幾件事放在一起看，故事就很清楚了。OpenClaw 不是進入了「功能大爆炸」的新階段，而是進入了「一邊高速發版，一邊拼命收拾安全與運維邊角」的新階段。

三個正式版本，讓 OpenClaw 更像要長期運行的系統

3 月 12 日，v2026.3.11 先補最基本的邊界

v2026.3.11 的訊號很直白。它最重要的一條安全更新，是對所有瀏覽器來源連線強制做 origin 驗證，修掉了在 trusted-proxy 模式下可能出現的 cross-site WebSocket hijacking 路徑。白話一點說，這是在堵一個可能讓不受信來源摸到 operator.admin 權限的洞。

這個版本同時也做了兩件很有代表性的事。第一，它把 Ollama 的 onboarding 做成更像一條正式路徑，支援 Local 或 Cloud + Local 模式，連模型建議都一起補上。第二，它開始把多模態記憶索引往產品化方向推，讓 memorySearch.extraPaths 可以選擇性吃進圖片和音訊資料。

這種組合很能說明 OpenClaw 現在的節奏。它不是單純在追「功能越多越好」，而是一邊擴大可用場景，一邊把最容易出事的邊界先補起來。

3 月 13 日，v2026.3.12 把 UI、模型路由與安全修補綁在一起推

到了 v2026.3.12，OpenClaw 的更新開始有點像整隊推進。這個版本最顯眼的地方，是新版 Control UI dashboard-v2。官方把 overview、chat、config、agent、session 這幾塊重新整理進同一套介面，還加上 command palette、手機底部 tab、搜尋、匯出與 pinned messages。這不是小修小補，而是明顯想把「看得見、控得住」做成一個更像管理面板的體驗。

模型層也同步推進。v2026.3.12 新增 OpenAI 和 Anthropic 的 session-level fast mode，還把 Ollama、vLLM、SGLang 往 provider-plugin 架構搬。這代表 OpenClaw 不只是增加模型選項，而是在重整模型接入的骨架，讓 onboarding、discovery、model picker 和後續 hook 更模組化。

但我反而更在意這個版本裡那一長串安全修補。官方在這一版裡把 /pair 和 openclaw qr 的 setup code 換成短生命週期 bootstrap token，停掉 cloned repository 的 implicit workspace plugin auto-load，還補了 SecretRef marker 持久化、Unicode 命令混淆偵測、allowlist 比對邊界、共享 token scope 等一整批問題。看起來很碎，實際上都指向同一件事：OpenClaw 團隊已經很清楚，這種權限重、入口多的 Agent，不可能只靠新功能往前衝。

3 月 14 日，v2026.3.13-1 的存在本身就是新聞

v2026.3.13-1 最耐人尋味的地方，不在於它修了哪一個 bug，而在於它為什麼會存在。官方在 release note 裡寫得很直接，這個 recovery release 是因為 GitHub immutable releases 不能重用已經發布過的 v2026.3.13，所以只能另開一個 -1 後綴的 tag 和 release 來把路徑救回來。

這其實是個很真實的訊號。OpenClaw 現在的發版速度已經快到，連 release path 自己都可能踩壞。團隊沒有選擇把事情悄悄吞掉，而是公開補一個 recovery release，把 npm 版本與 GitHub tag 的差異講清楚。對長期使用者來說，這種透明度比「完全沒出錯」更有參考價值。

而且 v2026.3.13-1 並不是只有修 tag。它也帶入了像 security(docker): prevent gateway token leak in Docker build context 這類安全修補，還補了控制台認證、瀏覽器 session、建置記憶體回退等問題。這讓 3 月中旬的 OpenClaw 看起來不像在追熱度，反而更像在補一個高速擴張產品該補的基本功。

3 月 15 日，使用者開始踩到升級鏈路的真實摩擦

新聞不只來自 release note。2026-03-15，GitHub issue #46953 回報了一個很實際的問題：當 Telegram bot token 透過 env SecretRef 管理時，執行 openclaw doctor --non-interactive 和 openclaw update 可能會報 unresolved SecretRef 錯誤，雖然 runtime 本身其實是健康的。

這類問題之所以值得寫，不是因為它夠戲劇化，而是因為它很像成熟期產品會碰到的典型摩擦。功能本身可用，訊息也發得出去，但診斷與升級流程沒有完全對齊 runtime 的 SecretRef 解析邏輯，最後讓真正要維護系統的人卡在工具鏈自己身上。

如果你只是偶爾玩一下 OpenClaw，這可能只是個麻煩的小 bug。可如果你是把它接進 Telegram、Slack 或多個模型供應商一起跑，這種升級鏈路上的 false positive 會直接影響你敢不敢跟版。這也是為什麼我會把它列進最新資訊，而不是當作普通 issue 帶過。

3 月 16 日，兩條新的安全 PR 把風險點直接攤開

到了 2026-03-16，OpenClaw 官方倉庫又新開了兩條安全 PR。注意，這兩條在本文寫作時都還是 open 狀態，不是已合併修復，但它們揭露的風險點非常值得提早看。

第一條是 PR #48133，主題是 Firecrawl 擴充的 SSRF 與快取膨脹問題。提案裡寫得很直接，如果 firecrawl_scrape 接受的 URL 沒有先在本地做驗證，遭到 prompt injection 的 agent 可能被誘導去抓 169.254.169.254 這類 metadata 端點，把本來不該進上下文的內部資料拉回對話。同一條 PR 也補上了快取大小上限，避免長時間跑的 session 把記憶體一路吃上去。

第二條是 PR #48134，它處理的是 OpenShell 擴充把整個 process.env 傳進 SSH 子程序的問題。這種風險沒有那麼花俏，但很致命。因為一旦遠端 sandbox 或子流程不可信，像 OPENAI_API_KEY、ANTHROPIC_API_KEY、FIRECRAWL_API_KEY 這些環境變數就可能跟著一起外流。提案裡的修補方向也很乾脆，改成只傳一份最小 allowlist，而不是整包繼承 host 環境。

這兩條 PR 很像是 OpenClaw 現在安全輪廓的縮影。真正麻煩的地方，往往不是「模型回錯一句話」，而是 agent 工具鏈碰到了瀏覽器、抓取器、SSH、plugin、shared token 這些會跨邊界的能力。

這波 OpenClaw 最新資訊，真正代表什麼

如果只把最近一週的新聞拆成一條條 release bullet，你會得到一個很熱鬧但很零碎的時間線。可把它們重新串起來看，脈絡其實相當一致。

OpenClaw 正在進入第二階段。第一階段是靠爆發式傳播、超高 GitHub 熱度和「AI Agent 真的能替你做事」的想像力，把所有人拉進來。第二階段則完全不同，重點變成你能不能安全配對裝置、能不能信任工作區插件、能不能在 Docker 或 SSH 環境裡保住憑證、能不能備份、能不能順利升級。

對現有使用者來說，我會把最近這波變化濃縮成三句話：

1. 先跟上版本，再談新功能。v2026.3.11、v2026.3.12、v2026.3.13-1 不是裝飾性更新，裡面有不少安全邊界修補。
2. 把插件、自動抓取和遠端 shell 視為安全邊界，不要再把它們當成普通小功能。
3. 盯緊 2026-03-16 這兩條安全 PR 的後續走向，因為它們很可能決定接下來幾個版本會怎麼收斂風險。

如果你想補前情，可以先看我們之前整理的 OpenClaw 3 月上旬動態回顧，或是回頭看更早那篇 OpenClaw 爆紅事件整理。如果你對 Agent 的底層協議更有興趣，也可以接著讀這篇 MCP Agentic AI 實戰指南。

說到底，OpenClaw 這週最有新聞價值的地方，不是它又多了一個什麼酷功能，而是它越來越像一套真的會被人拿去長期託管、長期依賴、也因此必須長期防守的系統。這種轉折，通常才是一個開源 Agent 專案真正開始進入下一階段的時候。

資料來源

1. 2026-03-09 OpenClaw Release v2026.3.8
2. 2026-03-12 OpenClaw Release v2026.3.11
3. 2026-03-13 OpenClaw Release v2026.3.12
4. 2026-03-14 OpenClaw Release v2026.3.13-1
5. 2026-03-15 Issue #46953: doctor/update fail on Telegram env SecretRef while runtime channel is healthy
6. 2026-03-16 PR #48133: security(firecrawl): validate scraped URL to prevent SSRF + cap cache size
7. 2026-03-16 PR #48134: security(openshell): prevent host environment variable leakage to SSH subprocesses