OpenClaw 最新更新》GPT-image2 走 OAuth 免 API key、子代理三層巢狀上線

開源 AI Agent 框架 OpenClaw 發布 v2026.4.23，核心更新集中在圖片生成、子代理機制和安全加固三大方向。OpenAI gpt-image-2 現可透過 Codex OAuth 直接呼叫不需 API key，子代理新增對話上下文繼承與三層巢狀架構，安全面則建立在 4 月初一口氣修補 13 個 CVE 的基礎上。 （前情提要：黃仁勳發全員信擁抱 OpenAI Codex：1 萬多名 NVIDIA 員工已上手，GPT-5.5 跑在 GB200 上） （背景補充：白宮 OSTP 點名中國：工業規模 AI 蒸餾攻擊違反安全協議，四步反制裁將啟動）   GitHub 上拿下 36 萬顆星的 OpenClaw，是目前成長最快的開源 AI Agent 框架之一。創辦人 Peter Steinberger 今年 2 月加入 OpenAI 後，專案交由社群與非營利基金會維護，但更新節奏沒有慢下來。v2026.4.23 昨晚發布，主要有三個方向的更新。 gpt-image-2 走 OAuth，API key 不用了 圖片生成是這次最直觀的改動，OpenAI 的 gpt-image-2 現在可以透過 Codex OAuth 2.1 + PKCE 流程直接呼叫，從 ChatGPT Plus/Pro 訂閱取得短效 token，不再需要另外設定 OPENAI_API_KEY。 啟動方式一行指令： openclaw onboard --auth-choice openai-codex OpenRouter 的圖片模型也同步打通，透過 image_generate 工具即可使用。 多參考圖編輯從 JSON data URL 改為 multipart 上傳，修復了先前複雜編輯容易失敗的問題。 Agent 還可以按需指定畫質、輸出格式、背景透明等引數，xAI 則新增了圖片生成和語音轉文字支援。 對一般使用者來說，以前要用 OpenAI 圖片功能得另外申請 API key 再填進設定檔，現在直接走 OAuth 登入就行。 子代理繼承對話，三層巢狀上線 子代理機制的核心改動是「forked context」: 子代理現在可以繼承父代理的對話紀錄，不再從空白開始。執行時跑在獨立 session 裡，完成後把結果回報到原始聊天頻道。 巢狀架構也正式上線，把 maxSpawnDepth 設為 2 時，可以跑 main → orchestrator → workers 三層架構，單一 agent 最多生 5 個子代理，全域性並行上限 8 個。 安全面更新：子代理預設不能存取 sessions_list、sessions_history 等敏感工具，需要透過白名單明確開啟。這個設計意味著每個子代理只拿到最低必要許可權，不會因為巢狀深度增加而擴大攻擊面。 63% 的用戶還在資安裸奔 資安是這次更新最大的重點，v2026.4.23 建立在 4 月初一口氣修補 13 個 CVE 的基礎上，其中兩個是 Critical 等級 CVE-2026-35639 可透過 scope 驗證繞過實現許可權提升，CVE-2026-35641 則是惡意 .npmrc 檔案在本地 plugin 安裝時執行任意程式碼。 但漏洞修完不代表危險解除。Blink 研究發現，全球約 135,000 個公開暴露的 OpenClaw 用例中，63% 沒有啟用認證。這代表 Critical 等級的漏洞可以無憑證遠端利用。修了漏洞是一回事，有多少人會去更新又是另一回事。 相關報導 Anthropic 承認 Claude「真的變笨」：三個工程配置失誤，已重置所有訂閱額度當補償 Google 擬砸 400 億美元投資 Anthropic！首期將豪擲 100 億美元現金 AI 資料中心成碳排炸彈：年排放溫室氣體超整個國家，OpenAI、Meta、Microsoft 減碳承諾崩潰〈OpenClaw 最新更新》GPT-image2 走 OAuth 免 API key、子代理三層巢狀上線〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。