OpenClaw 2026.4.2가 릴리즈됐다. Breaking 변경사항 2건, 변경사항 15건, 버그 수정 30건 이상이 포함된 대형 릴리즈다. 핵심은 Task Flow 기반 백그라운드 오케스트레이션 복원, Android Google Assistant 연동, 그리고 프로바이더 HTTP 전송 경로 전면 보안 강화다.
핵심 3가지
Task Flow 복원: 백그라운드 오케스트레이션의 핵심 기판인 Task Flow가 managed/mirrored sync 모드, durable 상태 추적, openclaw flows 명령과 함께 복원됐다. 플러그인에서도 api.runtime.taskFlow로 직접 구동할 수 있다.
Android Google Assistant 연동: Android에서 Google Assistant 트리거로 OpenClaw를 바로 실행하고 프롬프트를 채팅 컴포저에 전달할 수 있게 됐다.
프로바이더 전송 보안 강화: HTTP, 스트림, WebSocket 경로 전체에서 인증, 프록시, TLS, 헤더 처리가 중앙화되고, 안전하지 않은 TLS/런타임 전송 오버라이드가 차단됐다.
Breaking 변경사항
xAI 검색 설정 이전
x_search 설정이 레거시 코어 경로(tools.web.x_search.*)에서 플러그인 소유 경로(plugins.entries.xai.config.xSearch.*)로 이동했다. 인증도 plugins.entries.xai.config.webSearch.apiKey 또는 XAI_API_KEY로 표준화됐다. openclaw doctor --fix로 자동 마이그레이션 가능하다.
Firecrawl web_fetch 설정 이전
Firecrawl web_fetch 설정도 레거시 코어 경로에서 플러그인 소유 경로(plugins.entries.firecrawl.config.webFetch.*)로 이동했다. web_fetch 폴백이 Firecrawl 전용 코어 분기 대신 새 fetch-provider 경계를 통해 라우팅된다. 역시 openclaw doctor --fix로 마이그레이션 가능하다.
주요 변경사항
Task Flow 기판 복원
이번 릴리즈의 가장 큰 변화다. Task Flow 기판이 managed-vs-mirrored sync 모드, durable flow 상태/리비전 추적, openclaw flows 검사/복구 프리미티브와 함께 복원됐다. managed 자식 태스크 스포닝과 sticky cancel intent도 추가돼서, 외부 오케스트레이터가 즉시 스케줄링을 중단하고 부모 Task Flow가 활성 자식 태스크 완료 후 cancelled로 정착하도록 할 수 있다. 플러그인에서는 api.runtime.taskFlow seam을 통해 호스트 해석 컨텍스트에서 Task Flow를 직접 생성하고 구동할 수 있다.
Android Google Assistant
Android에 assistant-role 엔트리포인트와 Google Assistant App Actions 메타데이터가 추가됐다. 어시스턴트 트리거로 OpenClaw를 실행하고 프롬프트를 채팅 컴포저에 바로 전달할 수 있다.
Exec 기본값 변경
게이트웨이/노드 호스트 exec가 기본적으로 YOLO 모드(security=full, ask=off)로 동작하도록 변경됐다. 호스트 승인 파일 폴백과 docs/doctor 리포팅도 이 no-prompt 기본값에 맞춰 정렬됐다.
플러그인 훅 확장
before_agent_reply 훅이 추가돼서 플러그인이 인라인 액션 후 LLM 호출 없이 합성 응답으로 단락시킬 수 있게 됐다. 프로바이더 소유 replay 훅(transcript 정책, replay 정리, reasoning-mode 디스패치)도 추가됐다.
Compaction 알림 제어
agents.defaults.compaction.notifyUser 설정이 추가돼서 "🧹 Compacting context..." 시작 알림을 opt-in으로 바꿀 수 있게 됐다. compaction.model도 수동 /compact과 컨텍스트 엔진 경로 전반에서 일관되게 적용되도록 수정됐다.
기타 변경사항
Matrix 플러그인에서 m.mentions 메타데이터가 텍스트, 미디어 캡션, 편집, 폴 폴백 등 전반에 걸쳐 스펙 준수 방식으로 송신된다. Feishu Drive 댓글 이벤트 전용 플로우가 추가됐다. Exec 승인에서 DM 우선 네이티브 채팅 승인이 자동 활성화된다. WhatsApp에 reactionLevel 가이던스가 추가됐다. Diffs에 plugin-owned viewerBaseUrl이 추가됐다.
보안/프로바이더 수정
프로바이더 전송 경로 중앙화
이번 릴리즈에서 보안 관련 가장 큰 작업이다. HTTP, 스트림, WebSocket 경로 전체에서 요청 인증, 프록시, TLS, 헤더 처리가 중앙화됐다. 안전하지 않은 TLS/런타임 전송 오버라이드가 차단되고, 프록시 홉 TLS와 타겟 mTLS 설정이 분리됐다. OpenAI, Anthropic, Copilot, Deepgram, Gemini, Moonshot 등 개별 프로바이더의 네이티브 vs 프록시 요청 정책도 중앙화돼서, 검증된 네이티브 엔드포인트에서만 숨겨진 attribution과 OpenAI 계열 기본값이 적용된다.
이미지 생성 SSRF 방어
OpenAI, MiniMax, fal 이미지 요청이 공유 프로바이더 HTTP 전송 경로를 통해 라우팅되도록 변경됐다. 설정된 이미지 base URL에서 사설 네트워크 접근을 추론하던 동작이 제거되고, 공유 HTTP 에러 바디 읽기에 상한이 적용돼서 적대적이거나 잘못 설정된 엔드포인트가 SSRF 정책을 완화하거나 무제한 에러 페이로드를 버퍼링하지 못하게 됐다.
exec env 추가 차단
패키지 루트, 언어 런타임, 컴파일러 인클루드 경로, 자격증명/설정 위치에 대한 호스트 환경 오버라이드가 추가 차단됐다. 워크스페이스 .env 파일이 OPENCLAW_PINNED_PYTHON과 OPENCLAW_PINNED_WRITE_PYTHON을 오버라이드하지 못하도록 차단됐다.
버그 수정
게이트웨이/Exec
2026.3.31 이후 로컬 exec와 노드 클라이언트가 pairing-required 에러로 실패하던 문제가 수정됐다. 서브에이전트 게이트웨이 호출이 loopback scope-upgrade pairing에서 close(1008)로 죽던 문제가 수정됐다. exec-approvals.json의 잘못된 security/ask/askFallback 값이 정규화 시 정리되도록 수정됐다. tools.exec.host=auto가 라우팅 전용으로 처리되고, 호출별 호스트 오버라이드가 설정된 샌드박스/호스트 타겟을 우회하지 못하도록 수정됐다.
채널별 수정
WhatsApp에서 self-chat 모드 시 게이트웨이 실행 중 모든 푸시 알림이 사라지던 문제가 수정됐다. Slack에서 일반 마크다운 패턴 대신 네이티브 mrkdwn 가이던스가 인바운드 컨텍스트에 추가됐다. MS Teams에서 4000자 스트리밍 한도 초과 시 콘텐츠가 중복되던 문제가 수정됐다. Matrix 온보딩 가이드 설정이 복원됐다. Matrix 블록 스트리밍에서 완료된 블록 업데이트가 별도 메시지로 보존되도록 수정됐다.
에이전트/플러그인
Anthropic 스타일 antml:thinking 블록이 사용자 응답에서 노출되던 문제가 수정됐다. Kimi Coding에서 Anthropic 도구 페이로드가 OpenAI 호환 함수 형태로 정규화되도록 수정됐다. 플러그인 매니페스트에서 JSON5 구문(trailing comma, 주석, 따옴표 없는 키)이 허용되도록 수정됐다. 크론 exec 타임아웃이 verbose: off일 때도 표면화되도록 수정됐다. ACP 프롬프트가 일시적 WebSocket 끊김에서도 살아남도록 수정됐다.
브라우저/기타
CDP WebSocket URL에서 trailing-dot localhost 호스트가 정규화되도록 수정돼서, ws://localhost.:... 형태의 원격 CDP URL이 설정된 원격 호스트로 제대로 rewrite된다. openclaw doctor browser가 번들 브라우저 플러그인을 즉시 로드하지 않도록 수정됐다. 상대 로컬 미디어 경로가 process.cwd() 대신 에이전트 workspaceDir 기준으로 해석되도록 수정됐다.
업그레이드
npm update -g openclaw
openclaw --version # 2026.4.2 확인
openclaw doctor --fix # xAI/Firecrawl 설정 마이그레이션Breaking 변경사항이 2건 있다. xAI x_search와 Firecrawl web_fetch 설정을 사용 중이라면 openclaw doctor --fix로 마이그레이션해야 한다. 2026.3.31에서 exec loopback pairing 에러를 겪고 있었다면 이번에 수정됐으니 빠른 업그레이드를 권장한다.
요약
| 분류 | 핵심 내용 |
|---|---|
| Breaking | xAI x_search, Firecrawl web_fetch 설정 플러그인 경로로 이전 |
| 신규 | Task Flow 복원, Android Assistant 연동, before_agent_reply 훅, Compaction 알림 제어 |
| 보안 | 프로바이더 HTTP 전송 중앙화, 이미지 생성 SSRF 방어, exec env 추가 차단 |
| 수정 | exec loopback pairing 복구, WhatsApp 푸시 알림, MS Teams 중복 콘텐츠, Anthropic thinking 블록 노출 |
릴리즈 노트
https://github.com/openclaw/openclaw/releases/tag/v2026.4.2
Release openclaw 2026.4.2 · openclaw/openclaw
Breaking Plugins/xAI: move x_search settings from the legacy core tools.web.x_search.* path to the plugin-owned plugins.entries.xai.config.xSearch.* path, standardize x_search auth on plugins.entr...
github.com
