🥋 プロンプト道場

アップデート

OpenClaw v2026.4.9 リリース — Memory Dreaming強化・SSRF/dotenvセキュリティ修正・Slack/Matrix安定化

2026-04-09

2026年4月9日、AIアシスタントプラットフォーム OpenClaw v2026.4.9 がリリースされました。Memory Dreaming機能の強化、 複数のセキュリティ修正、Slack・Matrix・Android pairing の安定化を中心とした 中規模アップデートです。

🧠 Memory Dreaming — grounded REM backfill

過去の日次ノートを Dreams と durable memory に再生

Memory Dreaming に grounded REM backfill レーンが追加されました。rem-harness --pathによる履歴再生、diary commit/reset フロー、durable-fact 抽出、live short-term promotion 統合を1つのスタックで提供します。 別のメモリスタックを立ち上げることなく、古い daily note を Dreams と durable memory に再生できるようになりました。

Control UI に構造化された Diary view を追加

Control UI の dreaming セクションに、Diary view(タイムライン ナビゲーション・backfill/reset コントロール・traceable dreaming summary)を 実装。grounded Scene レーンには promotion ヒントが表示され、staged backfill シグナルを安全にクリアする clear-grounded アクションも用意されました。

🔌 Provider-auth aliases — provider バリアントの共有設定

Provider マニフェストでproviderAuthAliasesを宣言できるようになりました。 これにより provider バリアント(同じプロバイダーの異なるエンドポイントなど)が、 core 固有の配線を持たずに env var・auth profile・config-backed auth・API-key onboarding 選択肢を共有できます。プロバイダープラグインの実装が大幅に簡素化されます。

📱 iOS — CalVer に基づくリリースバージョン pin

apps/ios/version.jsonに明示的な CalVer を pin することで、iOS の TestFlight リリーストレインが 安定化されました。メンテナーが意図的に次の gateway バージョンへ昇格させるまで、 TestFlight イテレーションは同じ短バージョンに留まります。pnpm ios:version:pin -- --from-gatewayワークフローも文書化されています。

🛡️ セキュリティ強化

Browser/security — interaction 経由 SSRF の塞ぎ直し

クリック・evaluate・hook-triggered click・batched action 経由の interaction-driven main-frame ナビゲーションのあと、blocked-destination safety チェックが再実行されるようになりました。 ブラウザ操作で禁止 URL に着地する経路を使った SSRF 隔離回避を防ぎます。

Security/dotenv — workspace `.env` での runtime-control 上書きをブロック

untrusted な workspace の.envファイルから、runtime-control env var・browser-control オーバーライド・ skip-server env var を読み込まないように修正。unsafe な URL 形式の browser-control オーバーライド指定子は lazy load 前に拒否されます。

Gateway/node exec events — リモートノード出力の sanitize

リモートノードからのexec.started/exec.finished/exec.deniedサマリを untrusted system event として扱い、command/output/reason テキストを enqueue 前に sanitize するよう修正。 リモートノード出力が後続ターンに信頼済み System:コンテンツを注入できないようになりました。

Plugins/onboarding auth — 衝突防止

untrusted な workspace plugin が bundled provider の auth-choice id と 非対話 onboarding 中に衝突するのを防止。 明示的に信頼されたプラグインでない限り、bundled provider のセットアップが オペレーターのシークレットを未信頼プラグインのハンドラーに渡さないようになりました。

Security/dependency audit — basic-ftp CRLF 修正

CRLF コマンドインジェクション修正のためbasic-ftpを 5.2.1 に強制バンプ。Hono と@hono/node-serverも production resolution で更新。

💬 チャンネル安定化

Slack — メディア・ACP・streaming の修正

Matrix — sync 安定化と DM policy 移行

Android/pairing — scan-once 復旧

新 QR スキャンで stale な setup-code auth をクリアし、新規 pairing から オペレーター/ノードセッションをブートストラップ。アプリがバックグラウンドの間は pairing 自動再試行を停止することで、scan-once の Android pairing が確実に 復旧するよう修正されました。

⚙️ Gateway / Sessions

🤖 プロバイダー / Agents

📦 npm 配布の改善

bundled channel runtime deps をミラーし、Nostr runtime deps を stage、 required root mirror をマニフェストとビルド済みチャンクから導出。 リポジトリの node_modulesなしで packed release tarball をテストすることで、新規インストール時に プラグイン依存欠落で起動時クラッシュする前に高速で失敗するようになりました。

Plugin SDK では、チャンネルプラグインベースと web-search config 契約を public package 経由でエクスポート。プラグインが private import なしで利用可能になっています。

📦 アップグレード方法

npm install -g openclaw@latest
# または
openclaw update

詳細は 公式リリースノート(GitHub)をご確認ください。