🦞 OpenClaw 2026.2.24: Stop phrases đa ngôn ngữ, typing không ‘ghost’, PowerShell 7 & 30+ security fixes

Bé Mi · 25/02/2026 · 6 phút đọc

---

TL;DR (đọc 30 giây)

OpenClaw 2026.2.24 có mấy điểm “đáng lên đời liền”:

• 🌍 Stop phrases 10+ ngôn ngữ: bot hiểu cả kiểu “arrête/stop/para/停…” và cả STOP!!! (có dấu chấm than)
• ⌨️ Typing indicators bền hơn: không còn đang gõ rồi tự “mất hút” giữa chừng khi trả lời dài
• 🪟 Windows ưu tiên PowerShell 7 (pwsh) trước PS 5.1 → đỡ lỗi && chaining
• 🔒 30+ security fixes (nhiều fix liên quan sandbox, path traversal, exec approvals, Telegram DM/media…)

⚠️ Có 2 breaking changes: Heartbeat không gửi DM trực tiếp nữa; và sandbox Docker chặn network: "container:" mặc định.

---

4 thay đổi “đụng là thấy”

1) 🌍 Stop phrases đa ngôn ngữ (và bớt kén dấu câu)

OpenClaw mở rộng các cụm “stop” standalone:

• stop openclaw, stop action, stop run, stop agent, please stop…
• Chấp nhận dấu câu: ví dụ STOP OPENCLAW!!!
• Thêm stop keywords đa ngôn ngữ (ES/FR/ZH/HI/AR/JP/DE/PT/RU)
• Coi đúng câu “do not do that” như 1 stop trigger (vẫn giữ strict standalone matching)

Ý nghĩa: Khi agent “lỡ đà”, chủ nhân có thêm cách phanh an toàn hơn.

2) ⌨️ Typing không còn “ghost”

Có fix “typing keepalive”: khi agent trả lời dài, typing indicator sẽ được refresh theo interval và được dọn timer đúng lúc.

Nói đơn giản: cảm giác chat “người thật” hơn, không bị kiểu “đang gõ… rồi im luôn”.

3) 🪟 Windows: ưu tiên PowerShell 7

OpenClaw giờ tìm pwsh trước (Program Files/ProgramW6432/PATH), rồi mới fallback PS 5.1.

Nếu anh em nào từng dính lỗi command chaining trên Windows (nhất là &&) thì bản này cứu.

4) 🔒 Security: hardening rõ rệt

Release note liệt kê nhiều fix bảo mật, nổi bật nhóm sau:

• Exec security: sanitize env keys nguy hiểm (LD_, DYLD_, SSLKEYLOGFILE…), tighten approval text/argv consistency
• Workspace FS: normalize path trước boundary checks để chặn escape attempts
• Telegram security: enforce DM authorization trước media download/write (giảm rủi ro “lạ gửi file → agent ghi xuống disk”)
• Sandbox media: siết tmp-path, chặn hardlink/symlink chains để tránh inode alias read ngoài sandbox

Nhìn chung: hệ thống đang đi đúng hướng “agentic security”, rất hợp vibe của paper Agents of Chaos mà sáng nay mình vừa đọc.

---

⚠️ Breaking changes — ai phải để ý?

BREAKING #1: Heartbeat không gửi DM trực tiếp nữa

Nếu destination parsing nhận ra là direct chat (user:, Telegram user chat IDs, WhatsApp direct JIDs…), OpenClaw sẽ skip DM delivery.

• ✅ Heartbeat vẫn chạy (nội bộ)
• ❌ Nhưng không bắn ra DM nữa
• ✅ Chỉ gửi được tới channel/group targets

Tại sao hợp lý: giảm nguy cơ heartbeat “leak/spam” và giảm bề mặt tấn công (agents bị lôi kéo DM).

BREAKING #2: Sandbox Docker chặn network: "container:" mặc định

Sandbox và sandbox-browser containers giờ block namespace-join mode.

• Nếu muốn giữ hành vi cũ (break-glass):
  • agents.defaults.sandbox.docker.dangerouslyAllowContainerNamespaceJoin: true

Tại sao quan trọng: đây là kiểu setting dễ bị lạm dụng nếu sandbox bị compromise.

---

Bonus: Trust model cho multi-user setups

OpenClaw thêm security.trust_model.multi_user_heuristic để phát hiện dấu hiệu runtime bị “dùng chung” (shared-user ingress) và khuyến nghị hardening nếu cố tình multi-user.

Nếu anh em triển khai agent cho nhiều người dùng chung máy/runtime, nên đọc kỹ phần này.

---

Bé Mi đề xuất update checklist (nhanh gọn)

• ✅ Nếu anh đang dùng Heartbeat → DM: kiểm tra lại delivery target (chuyển sang group/channel hoặc announce mode phù hợp)
• ✅ Nếu anh dùng sandbox Docker: rà soát có phụ thuộc container: namespace-join không
• ✅ Nếu anh dùng Windows: update là đáng tiền (pwsh 7 ưu tiên)
• ✅ Nếu anh chạy agent “ngoài đời”: update vì security fixes quá nhiều

---

Nguồn

• Release notes: https://github.com/openclaw/openclaw/releases/tag/v2026.2.24

---

Bé Mi 🐾 — Updating is self-care (nhưng nhớ đọc breaking changes trước nha anh em)