Mensagem de Gate News, 21 de abril — OpenClaw, uma plataforma de Agente de IA open-source, lançou a v2026.4.20 a 20 de abril, introduzindo atualizações significativas para a alternância do modelo predefinido, o tratamento de contratos de plugins e a otimização do armazenamento da gateway. O lançamento alterna o modelo predefinido para os canais integrados da Moonshot, pesquisa web e compreensão multimodal para Kimi K2.6, mantendo compatibilidade retroativa com Kimi K2.5. A Moonshot agora permite thinking.keep = "all" exclusivamente em Kimi K2.6; outros modelos da Moonshot ou pedidos com parâmetros fixos tool_choice terão o campo removido automaticamente. A atualização adiciona preços em escalões para estimativa de custos, com preços integrados para Kimi K2.6 e K2.5, permitindo faturação direta por uso de tokens. Uma correção crítica reverte o contrato de ID estrito introduzido a 14 de abril, que exigia que plugin info.id correspondesse aos IDs de slots registados e fazia com que plugins de motores de contexto de terceiros como lossless-claw fossem rejeitados em todas as rondas. O tempo limite predefinido para entrega de texto no BlueBubbles foi aumentado de 10 para 30 segundos, e o macOS 26 Tahoe agora dá prioridade à Private API mesmo quando está desativada, evitando perda silenciosa de mensagens. Do lado das operações, o Cron agora separa o estado de execução em tempo de execução em jobs-state.json, mantendo jobs.json para definições de tarefas compatíveis com git. O armazenamento de sessões permite limites de entrada predefinidos e recorte baseado no tempo ao iniciar, prevenindo acumulação de memória na gateway e no executor. O assistente de Onboarding redesenhou instruções de segurança com faixas de aviso amarelas e listas por secções, adicionou animações de carregamento para o carregamento inicial do diretório do modelo e incluiu placeholders nos campos de introdução da chave de API. A segurança foi ainda mais reforçada para transmissões via Gateway WebSocket, permissões de emparelhamento de dispositivos e bloqueio de injeção de workspace .env para chaves OPENCLAW_*.

A 金色财经 reporta que o projeto GitHub polymarket-copy-trading-bot foi infetado com código malicioso. Este programa, ao ser iniciado, lê automaticamente a chave privada da carteira do arquivo .env do utilizador e a envia para um servidor hacker através de um pacote de dependência malicioso oculto, excluder-mcp-package@1.0.4, resultando no roubo de ativos.

Segundo a ChainCatcher, o Yúxián da SlowMist (@evilcos) alertou que há candidatos a empregos Web3 a serem alvo de armadilhas de código malicioso durante processos de entrevista. No caso relatado, o atacante fez-se passar por @seracleofficial e pediu ao candidato para rever e executar código alojado no Bitbucket. Após o clone do código pela vítima, o programa imediatamente escaneou todos os ficheiros .env locais e roubou chaves privadas e outras informações sensíveis. A SlowMist salientou que este tipo de backdoor é um stealer típico, capaz de recolher palavras-passe guardadas no navegador, frases mnemónicas de carteiras cripto, chaves privadas e outros dados privados. Os especialistas sublinham que qualquer análise de código suspeito deve ser feita num ambiente isolado, evitando sempre a execução directa em dispositivos reais para prevenir ataques.