OpenClaw 2026.6.6 beta 2 : securite et canaux plus stricts
Telegram exclut les DM non autorises du contexte, ACP exige une vraie preuve de session et iMessage diagnostique sans exposer les conversations.
12 juin 2026, 8h00
☕ OpenClaw 2026.6.6 beta 2 : les canaux et les sessions ferment des angles morts
La beta 2026.6.6-beta.2, publiee le 12 juin 2026 a 5h32 (Paris), consolide un large lot de securite. Le fil conducteur est simple : un message refuse, une session supprimee ou un diagnostic ne doit jamais contourner silencieusement les frontieres de confiance.
Telegram garde les messages non autorises hors contexte
La release officielle indique que le texte d'un DM Telegram non autorise ne rejoint plus ni le cache ni le contexte du prompt. Ce n'est pas un simple refus d'affichage : l'entree est arretee avant de pouvoir influencer une reponse ulterieure.
Le canal gagne aussi une deduplication durable dans le SDK et un decoupage coherent des apercus en mode block. La PR #91915 precise cependant que le streaming Telegram reel n'a pas ete teste dans cette PR ; les preuves portent sur les tests de regression et la validation du code.
Une forme de cle ACP ne suffit plus comme preuve
La PR #91763 resserre la validation des sessions liees a un agent supprime. Une cle qui ressemble a agent:<id>:acp:... ne suffit plus pour beneficier d'une exception. OpenClaw exige la metadonnee ACP persistee qui prouve que la session appartient vraiment au runtime ACP.
En pratique, cela ferme un contournement possible pour des sessions bridge ayant la bonne forme de cle, mais pas la bonne provenance. Les appels sessions.resolve, chat.send, sessions.send et sessions.steer utilisent desormais l'entree de session chargee pour effectuer ce controle.
iMessage diagnostique sans exposer les conversations
La PR #91785 rend visibles les messages entrants ignores comme echo ou reflexion, ainsi que les echecs de demarrage de watch.subscribe. Les journaux conservent le motif et des metadonnees techniques, mais pas le texte, les handles expediteur ou destinataire, ni les GUID complets.
Cette PR ne change pas la politique de livraison : elle rend seulement les rejets et retries observables. Le diagnostic des messages from me a ete valide sur un environnement macOS reel ; le timeout de demarrage reste couvert par des tests cibles.
A retenir avant mise a jour
Cette version reste une beta. Sur une instance de test, verifier les DM Telegram non autorises, une session rattachee a un agent supprime et les logs de demarrage iMessage. Le gain attendu n'est pas une nouvelle fonction visible, mais des frontieres plus strictes et des diagnostics moins indiscrets.
Pour le volet MCP et latence du meme cycle beta, lire OpenClaw 2026.6.6 beta : MCP et Control UI gagnent en fluidite.
Sources
