OpenClaw 2026.4.2集中收紧供应商HTTP安全链路，安卓接入Google Assistant

据 1M AI News 监测，开源 AI Agent 平台 OpenClaw 发布 2026.4.2 版。此版包含 2 项 breaking changes、约 15 项功能改进和 30 余项修复。

两项 breaking changes 延续 2026.3.31 启动的插件架构外部化：xAI 的 x_search 配置和 Firecrawl 的 web_fetch 配置从核心路径迁移至插件自有路径，旧配置可通过 openclaw doctor --fix 自动迁移。

本版最密集的单一主题是供应商 HTTP 链路的安全集中化，贡献者 vincentkoc 提交了 8 项相关修复。此前共享 HTTP、流式传输和 WebSocket 路径的请求鉴权、代理设置、TLS 策略和请求头处理分散在各供应商适配代码中，现已统一收敛：GitHub Copilot、Anthropic、OpenAI 兼容端点的原生/代理请求策略集中化，防止伪造或代理端点继承原生默认值；音频、图像等媒体请求路由通过共享 HTTP 路径；图像生成端点不再从配置的 base URL 推断私有网络访问权限；跨渠道 webhook 密钥比对统一使用时间安全比较函数。对于自托管或接入多个第三方供应商的用户，这批改动堵上了一系列请求伪造和策略继承漏洞。

新功能方面，安卓端新增 Google Assistant 接入，用户可从语音助手直接启动 OpenClaw 并将提示词送入对话界面。执行默认值有变化：网关和节点主机执行现默认 security=full 加 ask=off`，即强制安全策略但不逐次弹窗确认。插件系统新增 `before_agent_reply 钩子，允许插件在 LLM 回复前用合成回复短路整个流程。Task Flow 继续完善，新增托管子任务生成和粘性取消意图，外部编排器可立即停止调度并等待活跃子任务自然结束。

其他修复：Anthropic 模型的 antml:thinking 内部思考标签此前会泄露到用户可见文本中，现已在输出端过滤；Kimi Coding 工具调用因 Anthropic 与 OpenAI 格式不兼容导致参数丢失，已做归一化；MS Teams 超过 4000 字符流式上限时不再重复输出已传输内容。