2026.3.2PATCHReleased: 2026-03-02

安全加固 + PDF 工具 + 流式传输改进

/** 关键安全修复、全新 PDF 分析工具，以及 Telegram 流式传输默认启用。 */

#Security#PDF#Telegram#Streaming#MiniMax

whats_new.md

✨ 新特性

PDF 分析工具

新增原生 PDF 工具，支持 Anthropic 和 Google 提供商。非原生模型可使用提取降级方案。可通过 agents.defaults.pdfModel、pdfMaxBytesMb、pdfMaxPages 配置。

Telegram 流式传输新默认值

channels.telegram.streaming 现在对所有新 Telegram 设置默认为 'partial'，开箱即支持实时预览流式传输。

Telegram DM 流式传输

私聊预览流式传输使用 sendMessageDraft，DM 推理流模式中保持推理/答案预览通道分离。

MiniMax-M2.5-highspeed 支持

在内置提供商目录、引导流程和 MiniMax OAuth 插件默认值中新增对 MiniMax-M2.5-highspeed 的全面支持。

security_fixes.md

🛡沙盒媒体 TOCTOU 符号链接重定向逃逸——在附件/图像加载时强制执行根作用域安全读取

🛡沙盒媒体暂存——通过根作用域安全写入阻止 stageSandboxMedia 中的目标符号链接逃逸

🛡工作区安全写入——针对符号链接重定向 TOCTOU 竞争条件加固 writeFileWithinRoot

🛡ACPX Windows 进程加固——通过 PATH/PATHEXT 解析 .cmd/.bat 包装器而无需 shell 解析

🛡浏览器安全——浏览器控制 auth bootstrap 错误时采用失败关闭策略

improvements.md

+SecretRef 覆盖范围扩展至 64 个凭证目标，支持运行时收集器

+PDF 工具支持差异输出，包含 PDF 文件输出和渲染质量控制

+内存 Ollama 嵌入：支持 memorySearch.provider = 'ollama'

+Zalo 个人插件使用原生 zca-js 集成重建

✓修复 Feishu 多账户回复可靠性和出站路由问题

✓修复重启哨值格式以避免重复 Reason: 行

✓修复 HTTP 529 对 Anthropic 兼容 API 未正确归类为 rate_limit 的问题

✓修复日志记录使用 UTC 而非本地时间的问题

upgrade.sh

# npm global install

$ npm install -g openclaw@2026.3.2

# or update existing install

$ openclaw update

✓ 从 2026.3.1 无破坏性变更，可安全升级