OpenClaw 3.11 升级：1 个高危漏洞修复，建议立即更新！3 种方式 + 4 步验证，助力完美升级

🚩 2026 年「术哥无界」系列实战文档 X 篇原创计划 第 51 篇，OpenClaw 最佳实战「2026」系列第 21 篇 大家好，欢迎来到 术哥无界 | ShugeX ｜ 运维有术。 我是术哥，一名专注于 AI 编程、AI 智能体、Agent Skills、MCP、云原生、Milvus 向量数据库的技术实践者与开源布道者！

Talk is cheap, let's explore。无界探索，有术而行。

OpenClaw 3.11 升级指南

图 1：OpenClaw 3.11 升级概览

如果你在使用 OpenClaw(小龙虾)的 trusted-proxy 模式,这个更新对你来说很关键。

2026 年 3 月 12 日发布的 v2026.3.11 版本修复了一个高危安全漏洞：跨站 WebSocket 劫持。在特定配置下,未授权的来源可能获得管理员权限。官方给出的严重程度评级是五颗星。

除了安全修复,这个版本还带来了不少实用的功能改进：iOS 应用全新界面、Ollama 首次设置向导、Memory 支持图像和音频索引、新增 Go 语言提供商等。 这篇文章会重点讲清楚三件事:安全漏洞的影响范围、推荐的升级方式、升级后的验证步骤。

1. 安全更新:跨站 WebSocket 劫持漏洞

这个漏洞的 CVE 编号是 GHSA-5wcw-8jjv-m286。

漏洞原理

问题出在 Gateway/WebSocket 连接的浏览器来源验证上。在 trusted-proxy 模式下,系统对代理头信息的信任过度,导致未授权的浏览器来源可能绕过验证,获得 operator.admin 权限。 官方的修复方案是:强制所有浏览器发起的连接进行来源验证,无论是否存在代理头。

影响范围

漏洞影响范围

图 2:漏洞影响范围判断

GitHub Release 页面上,这个版本已经收到了 185 个反应,其中大部分是 👍 和 🎉。社区对这个安全修复的重视程度可见一斑。

建议:如果你在生产环境使用 OpenClaw,尤其是通过反向代理对外提供服务,这个更新应该是优先级最高的任务。

2. 新功能亮点

除了安全修复,3.11 版本还带来了不少实用的新功能。

iOS 应用改进

如果你用 iOS 客户端,这次更新体验变化挺大的。

全新的欢迎屏幕:连接时会显示实时的代理状态概述,而不是之前那个简单的加载动画。重新连接和从后台切回来时也会刷新状态。

底部停靠工具栏:之前那些浮动控件被替换成了固定的底部工具栏,在小屏幕手机上操作更方便。聊天会话的打开逻辑也优化了：现在会在解析的主会话中打开,而不是合成一个独立的 ios 会话。

TestFlight Beta 流程:如果你参与测试,现在支持本地 Fastlane 构建、归档和上传,watch-app 的存档问题也修复了。

Ollama 首次设置向导

这个功能对新手很友好。 之前配置 Ollama 需要手动编辑配置文件,现在有了一个可视化的向导。支持两种模式:

• 本地模式:只使用本地运行的 Ollama 实例
• 云端 + 本地模式:结合云端模型和本地实例 向导会给出精选的模型建议,如果是云端模型,会自动跳过不必要的本地拉取步骤。

Memory 多模态索引

Memory 功能这次升级支持了图像和音频索引。 通过配置 memorySearch.extraPaths,可以让 OpenClaw 索引指定目录下的图片和音频文件。索引使用的是 Gemini 的 gemini-embedding-2-preview 模型。 配置示例:

{
  "memorySearch": {
    "extraPaths": [
      {
        "path": "/path/to/images",
        "extensions": ["jpg", "png", "jpeg"]
      },
      {
        "path": "/path/to/audio",
        "extensions": ["mp3", "wav", "m4a"]
      }
    ]
  }
}

OpenCode Go 提供商

OpenCode 现在支持 Go 语言了,新增了 Go 提供商。如果你在用 Go 开发,可以直接调用 OpenCode 的能力。

ACP 会话恢复

Agent Communication Protocol (ACP) 会话现在可以恢复了。之前如果 Agent 对话中断,上下文就丢失了。现在支持恢复现有对话的上下文,继续之前的交互。

其他改进

• Discord 自动线程归档:可以配置自动归档线程,保持频道整洁
• Git 状态清理:自动清理 git status 输出,减少干扰
• 子命令环境标记:新增环境变量标记,方便调试

3. 升级指南

三种升级方式对比

图 3:三种升级方式对比推荐三种升级方式,按难度从低到高:

方式 1: 安装脚本(推荐)

适用场景:所有安装方式命令:

curl -fsSL https://openclaw.ai/install.sh | bash

这个脚本会自动检测你的安装方式,执行对应的升级操作,并自动运行 openclaw doctor。优点:

• 自动检测安装方式
• 一键升级,无需手动操作
• 自动运行 doctor 检查配置

方式 2: 全局安装

适用场景:npm 或 pnpm 全局安装命令:

# npm 用户
npm i -g openclaw@latest
# 或 pnpm 用户
pnpm add -g openclaw@latest

优点:

• 使用熟悉的包管理器
• 快速直接

方式 3: 源代码安装

适用场景:通过 git clone 安装命令:

# 方式 3a: 使用内置命令
openclaw update
# 方式 3b: 手动操作
cd /path/to/openclaw
git pull
pnpm build

优点:

• 完全控制升级过程
• 可以预览代码变更

选择建议

• 新手推荐:方式 1,最简单
• 熟悉 npm:方式 2,快速
• 开发者:方式 3,可控

4. 升级后必做操作

升级后三步验证

图 4:升级后三步验证升级完成后,强烈建议按顺序执行这三个操作:

1. 运行 Doctor

openclaw doctor

这个命令会:

• 迁移配置文件到新版本格式
• 审核策略配置是否合理
• 检查系统健康状态

2. 重启 Gateway

openclaw gateway restart

重启 Gateway 应用所有更新和配置变更。

3. 验证健康

openclaw health

确认 Gateway 正常运行。如果看到 healthy 或类似的成功标识,说明升级成功。

5. 升级前准备

在升级之前,建议做以下准备:

备份配置文件

cp ~/.openclaw/config.json ~/.openclaw/config.json.backup
# 如果有自定义策略
cp -r ~/.openclaw/policies ~/.openclaw/policies-backup

记录当前版本

openclaw --version

记录当前版本号,万一需要回滚。

了解运行方式

确认你的安装方式:

• 安装脚本或全局安装:运行 which openclaw 看到路径
• 源代码安装:在项目目录下有 .git 文件夹

6. 故障排除

升级后启动失败

症状:运行 openclaw 报错或服务无法启动排查步骤:

1. 检查日志:openclaw logs 或查看日志文件
2. 运行 doctor:openclaw doctor 看是否有配置问题
3. 回滚到旧版本(如果准备了备份)

回滚方案

如果升级后出现严重问题,可以回滚到旧版本:全局安装:

npm i -g openclaw@3.10.x  # 替换为你的旧版本号

源代码安装:

cd /path/to/openclaw
git checkout v3.10.x  # 替换为你的旧版本 tag
pnpm build

配置不兼容

如果遇到配置不兼容:

1. 查看配置迁移日志,了解哪些配置项被修改
2. 参考 更新文档 查看配置变更说明
3. 手动调整配置文件,确保符合新版本要求

性能下降

如果升级后感觉性能下降:

1. 检查系统资源使用:openclaw status
2. 查看慢查询日志
3. 考虑调整并发设置或资源配置

7. 最佳实践

1. 测试环境先行:先在测试环境验证升级流程和功能兼容性,再升级生产环境
2. 定期更新:保持定期更新习惯,及时获取安全修复和功能改进
3. 保持配置简洁:避免过度定制配置,减少升级时的兼容性问题
4. 监控升级后状态:升级后密切关注系统状态和日志,及时发现并解决问题

总结

OpenClaw 3.11 是一个重要的安全更新版本,修复了高危的跨站 WebSocket 劫持漏洞。如果你在使用 trusted-proxy 模式或对外提供服务,应该尽快升级。 升级本身很简单:

• 最简单:重新运行安装脚本
• 最可控:源代码方式更新 升级后记得运行 doctor、重启 Gateway、验证健康状态。

好啦，谢谢你观看我的文章，如果喜欢可以点赞转发给需要的朋友，我们下一期再见！敬请期待！