今天早上打OpenClaw WebUI,提示有更新,点了一下更新后发现WebUI又双叒叕打不开了。
先说一下这次更新的优点,官方UI终于支持中文了,对于我这种英文半桶水的人来说,还是比较友好的。缺点是,不要每次更新都改浏览器的SSRF 策略好吧,上次OpenClaw更新2026.2.19后使用ws连接WebUI警告刚折腾完没几天,你说你又改规则了。
这次规则调整相对来说是比较友好的,至少对于固定设备访问的人来说是友好的。需要将访问的域名提前配置,并像IM聊天工具那样,配对浏览器的设备ID。
具体操作
修改 allowedOrigins 配置
在/root/.openclaw/openclaw.json配置文件中找到gateway选项,找到或添加 allowedOrigins 数组,值为允许访问的域名,然后重启openclaw gateway restart
{
"gateway": {
"port": 18789,
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "3feb6cdf5e961fda0a623f9808309f5105d8cdabe87c0234"
},
"controlUi": {
"allowedOrigins": [
"https://your-domain.com"
]
}
}
}
允许浏览器访问
这时进入浏览器访问域名,会有pairing required需要配对的提示,切换到概览分页,会有操作提示。
进入后台,输入查看设备列表,未允许配对的在Pending列表中,然后使用approve配对就可以了。
openclaw devices list
openclaw devices approve <允许的设备的RequestID>
到这里WebUI就可以正常访问了。
附这次更新大致内容
主要新功能
| 功能 | 说明 |
|---|---|
| Kilo Gateway 支持 | 新增一级 Kilocode 提供商支持,含认证、模型默认值、缓存处理等 |
| Kimi/Moonshot 支持 | 网页搜索工具新增 Kimi 提供商,视频理解也支持 Moonshot |
| Vercel AI Gateway | 支持 Claude 简写模型引用 (vercel-ai-gateway/claude-*) |
| Prompt 缓存文档 | 新增专用缓存参考文档,涵盖 cacheRetention、TTL 调优等 |
| HTTP 安全头 | 可选支持 Strict-Transport-Security 用于 HTTPS 部署 |
| 会话维护增强 | 新增 openclaw sessions cleanup,磁盘预算控制,更安全的清理机制 |
| 每代理参数覆盖 | 支持各 Agent 独立配置缓存行为等参数 |
破坏性变更
- 浏览器 SSRF 策略:默认改为可信网络模式,配置键从
allowPrivateNetwork改为dangerouslyAllowPrivateNetwork - 运行
openclaw doctor --fix可自动迁移旧配置
重要修复
- 配置快照中自动脱敏敏感密钥
- 加固 ACP 客户端权限自动审批
- 防止技能包中的 XSS 和路径遍历攻击
- OTEL 日志中脱敏 API 密钥和凭证
- 然后就是一些渠道和大模型相关的Bug。
评论区