一句话总结

2026.5.27 是一次偏安全边界、Codex app-server 稳定性、Gateway/回复热路径性能、多 provider 覆盖和多通道投递可靠性的维护版本。核心方向是：把不可信内容与系统提示词隔离得更彻底，让 Codex app-server 与 workspace memory 路由更稳，让 Gateway 少做热路径重复发现，同时补强 OpenAI-compatible embeddings、DeepInfra、Pixverse、VLLM、Claude CLI OAuth、Anthropic 直连模型，以及 Telegram、iMessage、Slack、Matrix、QQBot、Discord、Google Chat 等通道投递细节。

统计概览

核心亮点

1. 安全与内容边界进一步收紧

• 群聊 prompt 文本被移出 system prompt，降低不可信上下文污染系统层提示的风险。
• 重复尾点 hostname 会被规范化，减少 hostname 绕过和解析歧义。
• 阻断带副作用的 command wrappers，以及不安全的 Node runtime 环境变量覆盖。
• 拒绝无认证的 Tailscale 暴露配置。
• node / device-role approval 现在需要管理员权限。
• 修复覆盖 Microsoft Teams service URL、/allowlist configWrites 来源策略、QQBot fallback approval buttons 等边界。

2. Codex app-server 运行更可靠

• Codex runtime models 会先于 generic routing 解析，减少误路由。
• workspace memory 尽量通过工具路径路由，降低直接上下文注入和兼容性问题。
• 共享 app-server clients 在启动失败和 spawned-helper 失败后仍会保留。
• native hook relay generations 能跨重启保留，并在 fresh fallback 时轮转。
• 避免 false runtime live switches，减少运行时错误切换。
• Codex OAuth compaction 会通过 OpenAI-Codex 路由。

3. Gateway 与回复路径更快

• session reads、plugin metadata fingerprints、auth env snapshots、auto-enabled plugin config、tool-search catalogs、stable metadata caches 等路径减少热路径重复发现。
• 可见回复不再继承隐藏 cleanup timeout，降低用户面向回复被后台清理拖慢的概率。
• Gateway/performance 修复继续缓存 current/stable plugin metadata fingerprints、auto-enabled plugin config、metadata identity caches 等。
• isolated cron prompt-cache affinity 更稳定，model auth profile suffixes 会被持久化。

4. Provider 与模型覆盖增强

• OpenAI-compatible embedding provider 进入核心，支持本地和托管的 OpenAI 风格 endpoint，并配套 config、doctor、docs。
• DeepInfra onboarding 浏览模型时会加载完整、带 credential awareness 的模型目录，并保持 API-key catalog、media/video defaults、pricing/default metadata 一致。
• 新增 Pixverse 视频生成 provider、API 区域选择、文档和外部插件打包支持。
• VLLM thinking params 被接入。
• Claude CLI OAuth overlays 支持 PI auth profiles。
• bare direct Anthropic model ids 可以直接使用。

5. 通道投递更稳

• Telegram sendMessage action 使用 durable outbound delivery。
• iMessage 抑制重复 native exec approval prompts 和重复发送，并保持 denied reactions 后的 approval polling。
• Slack 在 late cleanup 期间保留已投递的 final replies。
• Matrix mention previews / finals 更严格保持 mention-inert，并忽略文件名中嵌入的 Matrix ID。
• QQBot fallback approval buttons 尊重 slash-command auth。
• Discord guild requester checks 更严格，成功回复中不再混入恢复出来的 tool-warning artifacts。
• Google Chat 在 DM 中停止 thread sends，避免错误线程投递。

6. 发布、包和 CI 证明路径更难卡死

• npm/package inventory 尊重 dist exclusions。
• shrinkwrap override pins 可正确合并，并保留 forked shrinkwrap pins。
• Docker runtime workspace templates 被打包并 smoke test。
• release postpublish checks 更严格。
• beta smoke 会拒绝空运行。
• Telegram、Open WebUI、ClawHub、Matrix、Tool Search、MCP、Gateway network、bundled runtime、kitchen-sink、Codex media 等 E2E waits 加入边界。

重点模块整理

Security / Content Boundaries

• 不可信 group prompt metadata 路由到 system prompt 之外。
• repeated trailing hostname dots 会规范化。
• side-effecting command wrappers、unsafe Node runtime env overrides、no-auth Tailscale exposure、untrusted Microsoft Teams service URLs 被拒绝或阻断。
• /allowlist configWrites 强制执行 origin policy。
• QQBot fallback approval buttons 需要通过 slash-command auth。
• node/device-role approvals 需要 admin authority。

Codex / App Server

• Codex runtime models 在 generic routing 前解析。
• workspace memory 通过工具路径路由。
• app-server clients 在启动和 helper 故障后更稳定。
• native hook relay generations 跨重启和 fallback 保留。
• raw reasoning/source-reply guards 继续保留。
• quarantined dynamic tools 会被报告。
• queued terminal turns 仍保持 attempt watchdog。
• Codex OAuth compaction 路由到 OpenAI-Codex。

Agents / Runtime / Sessions

• 避免 session event queue self-waits。
• compaction wake 和 steering retries 加入边界。
• pending error diagnostics 仍保留 grace。
• 避免 stale restart continuation reuse 和 false Codex runtime live switches。
• 保留 session fallback errors。
• 抑制重复 Claude CLI skill prompts。
• active user turns 前保留 runtime context。
• 清理 stale Anthropic thinking。
• unsupported tool schemas 会被隔离。
• completed write timeouts 可安全恢复，timeout abort 时释放 retained session write locks。

Reply / Session Delivery

• 可见 turn admission 保持 unbounded。
• visible fallback delivery 始终投递到最新 target。
• bridge hook context 被保留。
• direct fallback targets 按 channel grammar 分类。
• bridge mode 会报告 approval resolution。
• 避免 stale source-reply artifacts。

Channels

• Telegram sendMessage action replies durable，并保留 SecretRef prompt config。
• iMessage 修复重复 approval prompt、重复发送和 denied reaction 后 polling。
• Slack 保留 late cleanup 期间已经发出的 final replies。
• Matrix mention previews/finals 默认正常投递且保持 mention-inert。
• Discord 加强 requester 检查并过滤成功回复里的工具警告残留。
• Google Chat DM 不再发送 thread messages。

Memory / QMD

• QMD search 在 nonzero exit 后会尝试抢救 JSON。
• workspace memory 尽可能保持 Codex tool path 路由。
• OpenAI-compatible embedding provider 成为核心 provider，而不是只作为 memory plugin 的专属兼容注册。
• memory-specific embedding provider registration 被标记为 deprecated compatibility。

Providers / Models

• OpenAI-compatible chat completions 转发 cached token usage。
• Claude CLI OAuth overlays 支持 PI auth profiles。
• direct Anthropic model ids 可以裸用。
• VLLM thinking params 按配置转发。
• OpenAI-compatible cache retention 被尊重。
• OpenAI Responses replay tool ids 会被规范化。
• openai gpt-5.5 可在无 cached catalog 时解析。
• retry-after fallback handling 被保留。
• GitHub Copilot auth requests 加入边界。
• DeepInfra custom/live catalogs 一致加载。

Gateway / Performance

• 复用 read-only session metadata 和 active session working stores。
• current/stable plugin metadata fingerprints、auto-enabled plugin config、metadata identity caches 进入缓存。
• 信任 current metadata lifecycle caches，减少重复生命周期计算。
• isolated cron prompt-cache affinity 更稳定。
• model auth profile suffixes 会被持久化。
• probe client close 会被 drain。
• browser tokens 在 auth rotation 后过期。
• default status fast paths 加入边界。

CLI / Help / Config

• gateway timeouts、model limits、directory limits、message options、webhooks、partial values 等 loose/malformed numeric options 会被拒绝。
• subcommand version options 被正确尊重。
• generated/root/plugin help targets 正确路由。
• skills JSON output 保持自然 flush。
• root help 中 plugin descriptor loading 更安静。

Plugin State / Tool Search / ClawHub

• plugin rows 达到上限时会 evict current namespace。
• unchanged tool-search catalogs 会被复用。
• release catalog reuse wrapper 对齐。
• fallback tool warnings 保持 mention-inert。
• ClawHub 增加 plugin display metadata，让 catalog/package listings 展示更干净的名称。

Install / Package / Release / CI

• npm globstar exclusions 和 dist package exclusions 被正确匹配和尊重。
• unpacked test helpers 被省略。
• Homebrew 暂跳过，直到 macOS packages 需要它。
• Docker runtime workspace templates 被打包并在 full validation 中 smoke test。
• nested shrinkwrap override pins 合并正确，forked shrinkwrap pins 被保留。
• aged lru-cache 被 pin。
• postpublish verification 更强。
• main full-validation proof 可接受。
• empty beta smoke runs 会失败。
• E2E/QA/Crabbox waits 均加入边界，Windows targets 优先 Azure。

Fixes 重点摘录

• Security/content boundaries： 处理 group prompt metadata、hostname dots、command wrappers、Node env override、Tailscale no-auth exposure、Teams service URL、configWrites origin policy、QQBot fallback auth、node/device-role admin approval 等安全项。
• Codex： 修复 runtime model 解析、workspace memory 工具路由、app-server client 保留、hook relay generations、reasoning/source-reply guards、dynamic tool quarantine、queued terminal watchdog、OAuth compaction 路由。
• Agents/runtime： 修复 event queue self-wait、compaction wake、steering retries、false live switches、restart continuation、fallback errors、重复 Claude CLI skill prompts、Anthropic thinking 残留、unsupported tool schemas、write timeout 恢复和 write-lock 释放。
• Reply/session delivery： 修复 visible turn admission、fallback delivery target、bridge hook context、fallback target 分类、approval resolution 报告和 source-reply artifact 残留。
• Channels： 修复 Telegram、iMessage、Slack、Matrix、Discord、Google Chat 等多通道投递细节。
• Memory： QMD search JSON 可在 nonzero exits 后抢救；workspace memory 尽量通过 Codex tool path。
• Providers/models： 修复 cached token usage、Claude CLI OAuth overlays、direct Anthropic model ids、VLLM thinking params、OpenAI-compatible cache retention、Responses replay tool ids、gpt-5.5 catalog、retry-after fallback、Copilot auth 边界、DeepInfra catalogs。
• Gateway/performance： 修复 session metadata、working stores、plugin metadata fingerprints、auto-enabled plugin config、metadata caches、cron prompt-cache affinity、auth profile suffix、browser token rotation 和 status fast paths。
• CLI/help/config： 拒绝格式宽松或畸形的数值参数，修复 help target、skills JSON flushing 和 root help 噪音。
• Install/package/release： 修复 npm/package exclusions、shrinkwrap pins、Docker runtime template 打包和 smoke、postpublish verification、beta smoke 空运行。
• E2E/QA/Crabbox： 给多条测试等待路径加边界，防止测试或证明流程无限卡住。