OpenClaw 2026.4.1 Rilis: Exec Approvals Fix yang Ditunggu-tunggu

TL;DR — OpenClaw 2026.4.1 resmi release 1 April 2026, dan ini bukan update biasa. Ada 15+ perubahan besar yang mencakup perbaikan exec approvals, improve stabiltas gateway, integrasi model baru, sampai fix bug yang udah lama nyebelin. Focal point utama: exec approvals fix — yang selama ini sering error, timeout, atau false approval loop udah diperbaiki total.

Exec Approvals: Fix Utama yang Ditunggu-tunggu

Ini change log paling dinantikan. Exec approvals udah jadi pain point selama beberapa release, dan tim OpenClaw ngeberesin semuanya dalam satu kali update:

1. exec-approvals.json honor security defaults dengan bener — sebelumnya ada kondisi di mana inline atau configured tool policy yang belum diset bisa bikin approval flow jatuh ke state yang salah.
2. Remote exec gak bakal false approval timeout lagi — Slack dan Discord native approval handling sekarang align dengan inferred approvers dan real channel enablement.
3. Allow-always persist sebagai durable user-approved trust — sebelumnya behave-nya kayak allow-once, sekarang fixed.
4. Static allowlist entries berhenti silently bypass ask:"always" — kalau kamu udah set ask mode, semuanya berjalan sesuai expectation.
5. Shell-wrapper paths reuse exact-command trust — trust yang tidak bisa persist sebagai executable allowlist entry sekarang ditangani dengan benar.
6. Windows approval handling diperbaiki — Windows yang tidak bisa build allowlist execution plan sekarang minta approval explicit, tidak hard-dead-end.
7. Cron/exec isolated no-route dead-ends resolved — trusted automation sekarang bisa jalan tanpa approval loop.
8. openclaw doctor warn when tools.exec broader than exec-approvals.json — tool sekarang bisa deteksi kalau host-policy conflicts.
9. WebChat exec approvals pakai native approval UI — tidak lagi nyuruh agents paste manual /approve commands.
10. Node commands stop pinned to node-pair record — per-node system.run policy sekarang ada di exec approvals config, bukan di pairing record.

Gateway & Infrastructure

Beberapa fix penting untuk stabilitas gateway:

• Gateway/reload: Startup config writes tidak lagi trigger restart loop. Auth tokens dan Control UI origins yang di-generate tidak dianggap sebagai perubahan yang butuh restart.
• Gateway/HTTP: Satu broken facade tidak lagi bikin semua HTTP endpoint return 500.
• Gateway/nodes: Node commands tidak lagi terikat di approved node-pair record.
• Tasks/gateway: Task registry maintenance sweep tidak lagi stall gateway event loop under SQLite pressure. Gateways tidak akan hang lagi ~1 menit setelah startup.
• Tasks/status: Stale completed background tasks tidak lagi muncul di /status dan session_status.
• Tasks/gateway: Task heartbeat atau cleanup update yang landing selama sweep tidak lagi overwritten oleh stale snapshot state.

Agent & Model Improvements

• Tasks/chat: Add /tasks sebagai chat-native background task board untuk current session, dengan recent task details dan agent-local fallback counts.
• Agents/default params: Add agents.defaults.params untuk global default provider parameters.
• Agents/failover: Capping prompt-side dan assistant-side same-provider auth-profile retries untuk rate-limit failures sebelum cross-provider model fallback. Ada auth.cooldowns.rateLimitedProfileRotations knob baru.
• Agents/compaction: agents.defaults.compaction.model sekarang resolve consistently untuk manual /compact dan context-engine compaction paths.
• Agents/Anthropic: Preserve thinking blocks dan signatures across replay, cache-control patching, dan context pruning.
• Agents/failover: Unify structured dan raw provider error classification.

Channel Updates

• Telegram/errors: Add errorPolicy dan errorCooldownMs controls untuk suppress repeated delivery errors per account, chat, dan topic.
• Telegram/retries: Non-idempotent sends ada di strict safe-send path, retry pre-connect failures, preserve 429/retry_after backoff.
• Telegram/exec approvals: Topic-aware exec approval followups route through Telegram-owned threading, forum-topic approvals stay di originating topic.
• Telegram/local Bot API: Preserve media MIME types untuk absolute-path downloads.
• WhatsApp/reactions: Add reactionLevel guidance untuk agent reactions.
• WhatsApp: Pass inbound message timestamp ke model context.
• Discord/inbound media: Attachment dan sticker downloads pass through shared idle-timeout dan worker-abort path.
• Feishu/comments: Dedicated Drive comment-event flow dengan comment-thread context resolution dan in-thread replies.
• LINE/runtime: LINE channels start correctly setelah global npm installs on 2026.3.31.
• Channels/plugins: Bundled channel plugins tetap loadable dari legacy channels.config even under restrictive plugin allowlists.

Provider & Integration Updates

• SearXNG: Bundled SearXNG provider plugin untuk web_search dengan configurable host support.
• Amazon Bedrock/Guardrails: Add Bedrock Guardrails support ke bundled provider.
• ZAI/models: Add glm-5.1 dan glm-5v-turbo ke bundled Z.AI provider catalog.
• MiniMax/plugins: Auto-enable bundled MiniMax plugin untuk API-key auth/config.
• Ollama/model picker: Show only Ollama models setelah provider selection.

Tools & Developer Experience

• Cron/tools allowlist: Add openclaw cron --tools untuk per-job tool allowlists.
• CDP/profiles: Prefer cdpPort over stale WebSocket URLs untuk browser automation reconnection.
• Media/paths: Resolve relative MEDIA paths against agent workspace.
• Auto-reply/commands: Strip inbound metadata sebelum slash command detection.
• Plugins/install: Forward --dangerously-force-unsafe-install through archive dan npm-spec plugin installs.
• Sandbox/browser: Browser runtime inspection compare against agents.defaults.sandbox.browser.image.

Memory & Session

• Memory/session indexing: Full reindexes tidak lagi skip session transcripts saat sync triggered by session-start atau watch.
• Memory/QMD: Use --mask over --glob saat creating QMD collections.
• Subagents/tasks: Subagent completion dan cleanup tidak crash saat task-registry writes fail.

Web UI & Chat

• Gateway/webchat: chat.history text truncation configurable dengan gateway.webchat.chatHistoryMaxChars dan per-request maxChars.
• Web UI/OpenResponses: Preserve rewritten stream snapshots in webchat.
• Chat/error replies: Stop leaking raw provider/runtime failures ke external chat channels.
• Sessions/model switching: /model changes queue behind busy runs, tidak interrupt active turn.

macOS & Desktop

• macOS/Voice Wake: Add Voice Wake option untuk trigger Talk Mode.

Breaking Changes (2026.3.31)

Ada beberapa breaking changes yang di-introduce di 2026.3.31 yang masih relevant di 2026.4.1:

• Nodes/exec: Duplicated nodes.run shell wrapper di-remove, node shell execution selalu lewat exec host=node.
• Plugin SDK: Legacy provider compat subpaths deprecated, migration warnings emitted.
• Skills/Plugins install: Critical findings fail closed by default, install yang sebelumnya succeed mungkin butuh --dangerously-force-unsafe-install.
• Gateway/auth: trusted-proxy reject mixed shared-token configs, local-direct fallback requires configured token.
• Gateway/node commands: Node commands stay disabled until node pairing approved.
• Gateway/node events: Node-originated runs stay on reduced trusted surface.

Cara Update

1. Cek versi yang lagi jalan:

openclaw --version

2. Update ke latest stable:

npm install -g openclaw@latest

atau

openclaw update

3. Mau coba fitur beta?

openclaw update --channel beta

Selesai. Restart gateway kamu biar perubahan diterapkan.

Links

• 📋 Release notes lengkap: https://github.com/openclaw/openclaw/releases
• 📚 Dokumentasi: https://docs.openclaw.ai