关键安全补丁 + Android 启动改进

/** 解决多个 CVE 级别漏洞的高严重性安全补丁。Android 获得主要启动性能改进。 */

security_fixes.md

🔒 安全修复（高严重性）

🛡网关 WebSocket 身份验证：为 Control UI/Webchat 以外的浏览器 WebSocket 客户端强制执行 origin 检查

🛡网关受信任代理：Control UI 受信任代理配对绕过需要操作员角色

🛡macOS beta 引导：删除了通过 OAuth state 暴露 PKCE 验证器的 Anthropic OAuth 路径

🛡Microsoft Teams 文件同意：将 fileConsent/invoke 上传接受绑定到原始对话

🛡工作区 FS：在 workspaceOnly 和 applyPatch 边界检查中拒绝硬链接别名

🛡Node exec 审批：针对符号链接 cwd 路径和规范化类路径 argv 加固 system.run exec

🛡Signal：在仅反应通知入队之前强制执行 DM/组授权

🛡Discord 反应：在 reaction-event 系统入队之前强制执行 DM 策略/允许列表授权

🛡Slack 反应 + 固定：通过共享发送者授权对 reaction_* 和 pin_* 系统事件入队进行门控

breaking_changes.md

⚠心跳 direct/DM 传递默认值再次为 'allow'。设置 agents.defaults.heartbeat.directPolicy: 'block' 以恢复阻止行为。

new_features.md

Android 流式传输改进

改进了原生 Android 聊天 UI 中的流式传输处理和 Markdown 渲染质量，包括更好的 GitHub 风格 Markdown 行为。

Android 启动性能

延迟前台服务启动，将 WebView 调试初始化移出关键启动路径，添加了启动宏基准测试和低噪声性能 CLI 脚本。

移动端撰写布局

为小屏幕添加了撰写操作按钮的移动端堆叠布局，改善手机上发送/会话控件的可用性。

upgrade.sh

$ npm install -g openclaw@2026.2.25