OpenClaw v2026.3.11: Memory, ACP Session Restore & Security

OpenClaw v2026.3.11 ist draußen – und es ist ein Update, das sich lohnt. Das Release bringt drei zentrale Verbesserungen mit: erweiterte Memory-Funktionen mit Multimodal-Indexing, ACP Session Restore für Multi-Agent-Workflows und eine Reihe wichtiger Security-Hardening-Maßnahmen.

Besonders interessant für Agent-Teams: Mit dem neuen ACP Session Restore können spawned ACP-Sessions existierende ACPX/Codex-Gespräche wieder aufnehmen, statt immer von vorn zu beginnen. Das macht Multi-Agent-Workflows deutlich leistungsfähiger.

Memory: Multimodal-Indexing mit Gemini Embedding 2

OpenClaw Memory basiert seit jeher auf Markdown-Dateien im Workspace – das ist der Source of Truth, das Modell “erinnert” sich nur an das, was auf die Festplatte geschrieben wird. Mit v2026.3.11 kommt jetzt eine wichtige Erweiterung: opt-in Multimodal-Indexing für Bilder und Audio-Dateien.

Das funktioniert über die Konfiguration unter memorySearch.extraPaths – dort können zusätzliche Verzeichnisse angegeben werden, die außerhalb des standardmäßigen Workspace-Layouts liegen. Wenn memorySearch.multimodal.enabled = true gesetzt ist, indexiert OpenClaw nicht nur Markdown-Dateien, sondern auch unterstützte Bild- und Audio-Formate.

Wichtig: Multimodales Memory funktioniert aktuell nur mit Gemini Embedding 2 Preview (gemini-embedding-2-preview). Das Embedding-Modell unterstützt dabei verschiedene Output-Dimensionen (768, 1536 oder 3072) – die Default-Einstellung ist 3072. Beim Wechsel zwischen verschiedenen Dimensionen reindexiert OpenClaw automatisch den gesamten Store, da die Vektor-Größe sich ändert.

Die praktischen Auswirkungen: Ein Agent kann jetzt nicht nur in Markdown-Notizen suchen, sondern auch in gespeicherten Screenshots, Referenz-Bildern oder Audio-Notizen. Suchanfragen bleiben dabei textbasiert – Gemini vergleicht die Text-Queries gegen die indexierten Bild/Audio-Embeddings.

Unterstützte Formate:

• Bilder: .jpg, .jpeg, .png, .webp, .gif, .heic, .heif
• Audio: .mp3, .wav, .ogg, .opus, .m4a, .aac, .flac

Konfigurationsbeispiel:

agents: {
  defaults: {
    memorySearch: {
      provider: "gemini",
      model: "gemini-embedding-2-preview",
      extraPaths: ["assets/reference", "voice-notes"],
      multimodal: {
        enabled: true,
        modalities: ["image", "audio"],
        maxFileBytes: 10000000
      }
    }
  }
}

Ein paar Einschränkungen gibt es: Multimodales Indexing gilt nur für Dateien, die über extraPaths entdeckt werden. Die standardmäßigen Memory-Roots (MEMORY.md, memory.md, memory/**/*.md) bleiben Markdown-only. Außerdem muss memorySearch.fallback auf "none" stehen, während Multimodal-Memory aktiviert ist.

ACP Session Restore: Multi-Agent-Workflows leistungsfähiger

Für Teams, die mit Multi-Agent-Setups arbeiten, ist v2026.3.11 ein echter Meilenstein. Die neue ACP Session Restore-Funktionalität erlaubt es, spawned ACP-Sessions existierende ACPX/Codex-Gespräche wieder aufzunehmen.

Das funktioniert über den optionalen resumeSessionId-Parameter bei sessions_spawn mit runtime: "acp". Anstatt immer frisch zu starten, kann eine ACP-Session jetzt die Conversation-History einer vorherigen Session laden und dort weitermachen, wo sie aufgehört hat.

Zusätzlich dazu wurden die ACP-UX deutlich verbessert:

• loadSession replays stored user und assistant text
• Gateway-backed session controls und metadata werden exponiert
• Approximate session usage updates werden emitted, damit IDE-Clients den Kontext treuer wiederherstellen können

Auch Tool-Streaming wurde verbessert: tool_call und tool_call_update Events werden jetzt mit best-effort text content und file-location hints angereichert, damit IDE-Clients Bridge-Tool-Aktivität natürlicher folgen können.

Für Runtime-Attachments gibt es ebenfalls Neuerungen: Normalized inbound image attachments werden jetzt in ACP runtime turns weitergeleitet, sodass ACPX-Sessions image prompt content auf dem Runtime-Pfad bewahren können.

Praktischer Anwendungsfall: Ein Agent-Orchestrator kann einen Codex-Subagenten spawnen, ihn eine komplexe Aufgabe lösen lassen, und später einen weiteren Subagenten spawnen, der auf dem gleichen Codex-Kontext aufbaut – ohne alles neu aufzusetzen. Das reduziert Context-Overhead und macht kollaborative Agent-Workflows deutlich effizienter.

Security: Websocket-Origin-Validation & Hardening

Security ist in v2026.3.11 ein durchgängiges Thema. Das wichtigste Security-Feature ist die Gateway/WebSocket-Origin-Validation: OpenClaw erzwingt jetzt browser-origin validation für alle browser-originierten connections – egal ob proxy-headers vorhanden sind oder nicht. Das schließt einen Cross-Site WebSocket Hijacking-Pfad in trusted-proxy mode, der untrusted origins operator.admin access hätte gewähren können.

Dies ist ein kritischer Fix, der unter GHSA-5wcw-8jjv-m286 offiziell dokumentiert ist. Der Advisory beschreibt im Detail, wie der Path ausgenutzt werden konnte und warum die origin validation jetzt zwingend erforderlich ist.

Darüber hinaus gibt es eine ganze Reihe von Security-Hardenings:

Secret Files: Secret-File-Reads sind jetzt gegen path-swap races gehärtet – OpenClaw verlangt direkt reguläre Dateien für *File secret inputs und lehnt symlink-backed secret files ab.

Secrets/SecretRef: Exec SecretRef traversal ids werden über schema, runtime und gateway zurückgewiesen – das verhindert ungewollte Secret-Traversierung.

Sandbox/fs Bridge: Staged writes werden zu verified parent directories gepinned, sodass temporäre write files nicht außerhalb der erlaubten mounts materialisieren können, bevor der atomic replace stattfindet.

Gateway/Auth: Wenn local gateway.auth.* SecretRefs konfiguriert aber unavailable sind, failt OpenClaw closed – es gibt kein silent fallback zu gateway.remote.* credentials in local mode.

Security/system.run: Für approval-backed interpreter/runtime commands failt OpenClaw closed, wenn es nicht genau ein konkretes lokales file operand binden kann.

Security/plugin Runtime: Unauthenticated plugin HTTP routes inherit nicht mehr synthetic admin gateway scopes, wenn sie runtime.subagent.* aufrufen – admin-only methods wie sessions.delete bleiben ohne gateway auth blockiert.

Security/session_status: Sandbox session-tree visibility und shared agent-to-agent access guards werden enforced, bevor target session state gelesen oder mutiert wird – sandboxed subagents können nicht mehr parent session metadata inspecten oder parent model overrides via session_status schreiben.

Security/nodes: Das nodes agent tool wird als owner-only fallback policy behandelt – non-owner senders können nicht mehr paired-node approval oder invoke paths über das shared tool set erreichen.

Subagents/Authority: Leaf vs orchestrator control scope wird bei spawn persistiert und tool plus slash-command control durch shared ownership checks geroutet – leaf sessions können nach restore oder flat-key lookups nicht mehr orchestration privileges regainen.

Breaking Changes: Cron-Delivery & Storage

Eine wichtige Änderung betrifft Cron-Jobs: Die Cron/doctor Delivery wurde tightened. Isolierte cron jobs können nicht mehr über ad hoc agent sends oder fallback main-session summaries notify. Es gibt einen openclaw doctor --fix migration für legacy cron storage und legacy notify/webhook delivery metadata.

Wenn du Cron-Jobs nutzt, die auf Benachrichtigungen über alternative Pfade angewiesen waren, musst du deine Konfiguration anpassen. Die Migration mit openclaw doctor --fix sollte die meisten Legacy-Setups automatisch übernehmen.

Weitere Verbesserungen

Neben den drei Hauptpunkten gibt es eine Reihe weiterer Verbesserungen:

OpenRouter Models: Temporäre Einträge für Hunter Alpha und Healer Alpha wurden zum built-in catalog hinzugefügt, damit OpenRouter-Nutzer die neuen free stealth models während ihrer etwa einwöchigen Verfügbarkeit testen können.

iOS/Home Canvas: Ein bundled welcome screen mit live agent overview wurde hinzugefügt – der refreshed auf connect, reconnect und foreground return. Die compact connection pill wurde vom top-left canvas overlay verschoben.

macOS/chat UI: Ein chat model picker wurde hinzugefügt, explicit thinking-level selections werden über relaunch persistiert, und provider-aware session model sync für den shared chat composer wurde gehärtet.

Onboarding/Ollama: First-class Ollama setup mit Local oder Cloud + Local modes, browser-based cloud sign-in, curated model suggestions und cloud-model handling, das unnecessary local pulls überspringt.

OpenCode/onboarding: Neuer OpenCode Go provider, Zen und Go werden als ein OpenCode setup im wizard/docs behandelt, während die runtime providers getrennt bleiben.

Agent Fixes: Eine ganze Reihe von Fixes für Text-Sanitization (leaked model control tokens werden gestrippt), billing recovery, failover, cooldowns und context pruning verbessern die Stabilität und Zuverlässigkeit von Agent-Runs.

Update & Migration

Wenn du OpenClaw aktuell nutzt, ist das Update in der Regel unkompliziert. Die meisten Änderungen sind additive oder verbessern bestehendes Verhalten. Die einzige relevante Breaking Change betrifft Cron-Delivery – hier solltest du nach dem Update openclaw doctor --fix laufen lassen, falls du Legacy-Cron-Setups hast.

Für Memory-Support mit Multimodal-Indexing brauchst du einen Gemini API Key und solltest gemini-embedding-2-preview als Embedding-Modell konfigurieren. Denke daran, dass der Wechsel von gemini-embedding-001 (768 dimensions) zu gemini-embedding-2-preview (3072 dimensions) einen Re-Index auslöst – bei größeren Memory-Stores kann das eine Weile dauern.

Für ACP Session Restore ist keine spezielle Konfiguration nötig – es ist ein Opt-in Feature über den resumeSessionId Parameter bei sessions_spawn. Die neuen UX-Verbesserungen für ACP-Sessions stehen automatisch zur Verfügung.

Fazit

OpenClaw v2026.3.11 ist ein solides Release, das besonders für Agent-Teams und Nutzer mit komplexen Memory-Setups relevant ist. Multimodales Indexing erweitert das Memory-Konzept deutlich, ACP Session Restore macht Multi-Agent-Workflows leistungsfähiger, und die durchgängigen Security-Hardenings geben ein gutes Gefühl, insbesondere für Produktions-Setups.

Wenn du mit OpenClaw arbeitest, ist das Update empfehlenswert – besonders, wenn du Multi-Agent-Setups nutzt oder dein Agent über umfangreiches Memory verfügt, das jetzt auch Bilder und Audio umfassen kann.