OpenClaw 2026.5.20 stable : moins de magie, plus de garde-fous

Vendredi 22 mai 2026

OpenClaw v2026.5.20 est sorti en stable le 21 mai 2026. Après la beta couverte hier, cette version confirme surtout une direction : moins de chemins implicites, plus de garde-fous, et une meilleure lisibilité quand OpenClaw tourne en production.

Source principale : release GitHub OpenClaw v2026.5.20. La release indique aussi le package npm openclaw@2026.5.20, le tarball registry, l'intégrité sha512-cgshS76CxS3Vp9NGtJR2UGtVZxVR5/4rvok8DKGGL19DugAftNabsXfYajyAEiJ3dC8QTXNqF62MdQNzUnQe8Q== et plusieurs runs de validation.

Le vrai sujet : durcir les automatisations

La nouveauté la plus structurante est la suppression d'un ancien chemin de compatibilité côté approvals d'exécution. Les fichiers de skill doivent désormais être chargés avec l'outil de lecture prévu, et seul l'exécutable réel du skill reste auto-autorisé. C'est moins permissif, mais beaucoup plus sain : un système d'agents ne doit pas laisser des raccourcis historiques devenir des surfaces d'exécution opaques.

Dans la même logique, doctor avertit quand une policy sandbox masque des outils MCP configurés avant une requête provider. Ce n'est pas spectaculaire, mais c'est utile : une config peut être correcte sur le papier et pourtant inutilisable si la policy bloque silencieusement les outils attendus.

Pour compléter cette lecture sécurité, voir aussi sécuriser les secrets et clés API avec SecretRef.

Canaux : voix, Policy et fail-closed

OpenClaw stabilise aussi les changements canaux déjà vus en beta : sessions vocales Discord capables de suivre des utilisateurs configurés dans les salons autorisés, contexte vocal borné via IDENTITY.md, USER.md et SOUL.md, plugin Policy embarqué pour les contrôles de conformité par canal, et réparation optionnelle via doctor.

Plusieurs corrections vont dans le même sens : Mattermost échoue fermé si le type de canal manque, WhatsApp met à jour Baileys, les diagnostics de groupes WhatsApp deviennent plus explicites, et les boutons Discord désactivés sont mieux préservés. Ce sont des détails d'exploitation, mais ce sont eux qui font la différence quand un agent répond dans plusieurs surfaces réelles.

Cron et agents : moins de faux négatifs

La partie cron mérite attention. La release corrige plusieurs cas où un run planifié pouvait être mal interprété : sortie finale remplacée par un warning tardif, ancien jobs.json lu comme vide pendant une upgrade, lookup non borné dans openclaw cron show, ou tâche isolée bloquée par des métadonnées de refus mal distinguées du texte assistant.

Le résultat attendu est simple : un cron réussi doit livrer sa réponse finale, pas se transformer en échec ambigu parce qu'un diagnostic arrive au mauvais moment. Pour les workflows de veille, de newsletter ou de maintenance, cette fiabilité compte autant qu'une nouvelle feature.

Sur le sujet architecture des runs, l'article quand rester en session main, quand isoler un run reste un bon complément.

Providers et runtime : routage plus prévisible

La stable confirme aussi le login OAuth xAI par device code, pratique pour les instances distantes ou headless, et le respect de params.provider côté OpenRouter, avec surcharge possible au niveau modèle ou agent. Le routage provider devient plus explicite, ce qui réduit les surprises dans les stacks multi-provider.

Côté Codex, le harness embarqué passe à @openai/codex 0.132.0, le plugin Codex reste dans les images Docker officielles, les timeouts image generation sont mieux bornés, et plusieurs diagnostics deviennent moins bruyants. OpenClaw ajoute aussi agents.list[].experimental.localModelLean pour activer le mode local-model lean agent par agent, plutôt que globalement.

À retenir

v2026.5.20 n'est pas une release de démonstration. C'est une release de consolidation : approvals plus stricts, canaux mieux cadrés, crons plus fiables, secrets mieux signalés, providers plus explicites, et validations de release publiées.

Pour une équipe qui utilise OpenClaw comme couche d'automation quotidienne, le message est clair : l'outil continue de se déplacer vers moins de magie implicite et plus de comportements vérifiables. C'est exactement ce qu'on attend d'une plateforme agentique qui sort du prototype.