رسالة أخبار البوابة، 21 أبريل — أطلقت OpenClaw، منصة وكيل ذكاء اصطناعي مفتوحة المصدر، الإصدار v2026.4.20 في 20 أبريل، مقدِّمة تحديثات كبيرة على تبديل النماذج الافتراضي، والتعامل مع عقود الإضافات، وتحسين تخزين بوابة الوصول. يُبدِّل الإصدار النموذج الافتراضي للقنوات المدمجة في Moonshot، والبحث على الويب، والفهم متعدد الوسائط إلى Kimi K2.6، مع الحفاظ على التوافق العكسي مع Kimi K2.5. تتيح Moonshot الآن التفكير.keep = "all" حصراً على Kimi K2.6؛ وسيتم حذف الحقل تلقائياً من النماذج الأخرى في Moonshot أو من الطلبات التي تحتوي على معلمات tool_choice ثابتة. يضيف التحديث تسعيراً على مستويات لتقدير التكلفة، مع تسعير مدمج لـ Kimi K2.6 وK2.5، ما يتيح الفوترة المباشرة لاستخدام الرموز. ويُصلح الإصلاح الحاسم مشكلةً يعيد فيها القيد الصارم لعقد المعرف الذي طُرح في 14 أبريل، والذي كان يتطلب أن يتطابق plugin info.id مع معرفات المقابس المسجَّلة، مما تسبب في رفض إضافات محرك سياق طرف ثالث مثل lossless-claw في كل جولة. تم رفع المهلة الافتراضية لتسليم نص BlueBubbles من 10 إلى 30 ثانية، وأصبح macOS 26 Tahoe الآن يعطي أولوية لـ Private API حتى عند تعطيله، لمنع فقد الرسائل بصمت. ومن ناحية العمليات، يفصل Cron الآن حالة التنفيذ أثناء التشغيل إلى jobs-state.json بينما يحافظ على jobs.json لتعريفات المهام الملائمة لـ git. يتيح تخزين الجلسات حدود الإدخالات الافتراضية والتقليم المعتمد على الوقت عند بدء التشغيل، مما يمنع تراكم الذاكرة في البوابة والمُنفِّذ. أعادت أداة الإعداد (Onboarding) تصميم تعليمات الأمان باستخدام لافتات تحذير صفراء وقوائم مُقسَّمة إلى أقسام، وأضفت رسوماً متحركة للتحميل لتحميل دليل النموذج الأولي، وتضمّنت عناصر placeholder في حقول إدخال مفتاح API. وتم أيضاً تشديد الأمان أكثر لبث رسائل Gateway WebSocket، وتصاريح إقران الأجهزة، وحقن ملف workspace .env لمنع مفاتيح OPENCLAW_*.

أفادت جينس كاش بأن مشروع GitHub polymarket-copy-trading-bot تم زرع شفرة خبيثة فيه. يقوم هذا البرنامج عند التشغيل بقراءة المفتاح الخاص بالمستخدم من ملف .env تلقائيًا، وينقلها إلى خادم الهاكر عبر حزمة الاعتماد الخبيثة المخفية excluder-mcp-package@1.0.4، مما يؤدي إلى سرقة الأصول.

ذكرت ChainCatcher أن يوسين من SlowMist (@evilcos) حذّر من أن بعض الباحثين عن وظائف في مجال Web3 تعرضوا لفخ الشيفرة الخبيثة أثناء مقابلات العمل. في الحادثة، قام المهاجم بانتحال شخصية @seracleofficial وطلب من الباحث عن العمل مراجعة وتشغيل كود موجود على Bitbucket. بعد أن قام الضحية باستنساخ الكود، بدأ البرنامج فوراً بفحص جميع ملفات .env المحلية وسرقة المفاتيح الخاصة وغيرها من المعلومات الحساسة. أشارت SlowMist إلى أن هذا النوع من الأبواب الخلفية يُعد من نوع stealer النموذجي، حيث يمكنه جمع كلمات المرور المحفوظة في المتصفح وعبارات الاسترداد والمفاتيح الخاصة لمحافظ العملات المشفرة وغيرها من البيانات الخاصة. شدد الخبراء على ضرورة إجراء مراجعة أي كود مشبوه في بيئة معزولة وعدم تشغيلها مباشرة على الجهاز الحقيقي لتجنب التعرض للهجمات.