v2026.3.12 — Dashboard v2 + Fast Mode + 15 項安全公告
發布日期:2026 年 3 月 13 日 定位:重量級功能 + 大規模安全修補 Breaking Changes:多項隱式變更(見下方)
整體概況
v2026.3.12 是功能與安全並重的重磅版本。兩大亮點:全新的 Control UI Dashboard v2 和跨供應商的 Fast Mode 快速推理。同時修復了超過 15 個 GHSA 安全公告,涵蓋 exec approvals 繞過、plugin 自動載入、device pairing token scope 等關鍵安全問題。Provider-plugin 架構遷移也讓 Ollama、vLLM、SGLang 變成獨立模組。
核心亮點
1. Control UI Dashboard v2
全面翻新 gateway 控制面板:
| 功能 | 說明 |
|---|---|
| 模組化視圖 | Overview / Chat / Config / Agent / Session |
| Command Palette | 快速指令搜尋與執行 |
| 行動裝置 | Bottom tabs 適配 |
| Chat 工具 | 斜線指令、搜尋、匯出、釘選訊息 |
2. Fast Mode 快速推理
新增可在 session 層級切換的 fast mode,統一支援多個入口:
/fast指令、TUI、Control UI、ACP- OpenAI:透過 Codex request shaping 實現
- Anthropic:映射至
service_tierAPI 參數 - 兩者皆包含即時驗證機制
Fast Mode 不是切換模型,而是讓同一模型以更快速度回應。適合需要快速迭代的開發場景。
3. Provider-Plugin 架構遷移
Ollama、vLLM、SGLang 正式遷移至 provider-plugin 架構:
- 各 provider 擁有獨立的 onboarding、discovery、model-picker
- Post-selection hooks 支援
- 核心 provider wiring 大幅模組化
- 未來要新增 provider 會容易很多
4. sessions_yield 子代理指令
新增 sessions_yield 功能——orchestrator 可立即結束當前 turn、跳過排隊工作,攜帶隱藏 follow-up payload 進入下一個 session turn。對複雜的多代理編排來說非常重要。
5. Kubernetes 部署支援
新增入門級 K8s 安裝路徑:
- Raw manifests + Kind setup
- 部署文件
- 讓容器化大規模部署變得更容易
安全修補(15+ GHSA)
這個版本修復了非常多安全漏洞,以下是重點:
| 漏洞類型 | 說明 |
|---|---|
| Exec Approvals 多重繞過 | Unicode 隱形字元、shell payload、pnpm/npm exec 展開 |
| Workspace Plugin 自動載入 | 禁用隱式載入,clone repo 需明確 trust decision |
| Device Pairing Token Scope | /pair 和 QR 改用短期 bootstrap token |
| Slack/Teams Routing | 預設要求 stable channel/team ID |
| Sandbox Write 空檔案 | mutation-helper payload stdin 遺失導致回報成功但檔案為空 |
重要技術方向
快速推理的跨供應商標準化
用統一的 /fast 開關同時支援 OpenAI 和 Anthropic,等於建了一個跨供應商的推理速度控制層。
Provider 模組化
Ollama/vLLM/SGLang 遷至 plugin 架構,朝「provider 即插件」的目標邁出重要一步。
安全系統性掃描
從 15+ GHSA 可以看出團隊做了一輪完整的安全掃描,涵蓋 exec、plugin、auth、channel 等所有攻擊面。
重要修復
- Gateway main-session routing:TUI 的 send 錯誤繼承 Telegram/WhatsApp 路由
- ACP client 最終訊息遺失:terminal chat event 中丟失最後一則可見回覆
- Post-compaction 雙重壓縮:cache-ttl marker 觸發第二次不必要的壓縮
- Sandbox write 空檔案:sandbox 模式下 write 回報成功但建立空檔案