OpenClaw 生态本周抵达一个拐点。Anthropic 切断了第三方智能体 harness 的订阅制访问(Claude Pro/Max),并暂时暂停了 OpenClaw 创建者 Peter Steinberger 的账户。Microsoft 确认正在将 OpenClaw 式自主智能体直接内建到 M365 Copilot 中,预览预计在 6 月的 Build 2026 上亮相。与此同时,核心项目在五天内发布了六个版本,GitHub 星标突破 357,000,带来了一流的推理编排、恢复的记忆基础设施,以及一个关键安全补丁。以下是本周 OpenClaw 对企业团队最重要的全部内容。
Anthropic 为第三方智能体访问划清界限
本周最大的新闻是 OpenClaw 与其最热门模型提供商之间日益紧张的关系。自 4 月 4 日起,Anthropic 终止了第三方智能体 harness(含 OpenClaw)的订阅制访问(Claude Pro/Max)。用户现在必须通过 API 按 token 付费。Anthropic 援引自主智能体产生递归推理模式带来的“前所未有的容量压力”。
4 月 10 日事态升级——Anthropic 的自动化系统暂时暂停了 Steinberger 的个人账户,将其用量标记为"可疑"。一位 Anthropic 工程师介入后,账户在数小时内恢复。Steinberger 指出,他作为 Foundation 负责人仅将 Claude 用于 OpenClaw 兼容性测试。
对企业团队而言,实际影响在成本和架构上。围绕 Claude 订阅构建 OpenClaw 工作流的组织现面临按 token 计费。一线希望:OpenClaw 的提供商无关设计意味着切换到 Ollama、Qwen、Gemma 4 或其他开源模型只需最小化重新配置。关注未来几周的迁移模式——这次定价变化可能加速向自托管推理的转移。
Microsoft 将 OpenClaw 式智能体内建到 M365 Copilot
Microsoft 确认,Omar Shahine(企业副总裁,前 Word 负责人)麾下的专门团队正在 Microsoft 365 Copilot 内部原型化 OpenClaw 式自主智能体。据 TechCrunch,开发中的能力包括用于主动日常任务建议的 Outlook 收件箱和日历监控、多步跨应用工作流,以及面向市场、销售、财务的角色专属智能体,并配备分级权限。
最早的预览预计在 6 月的 Build 2026 上亮相。
此事之所以重要,是因为 Microsoft 将 OpenClaw 的架构模式内建到第一方产品中,为需要 Microsoft 安全、合规和治理外壳的企业采购方验证了智能体模型。它也带来一个战略问题:如果 Microsoft 发布具备企业级身份管理的自主智能体,是会减少以 M365 为中心的组织对自托管 OpenClaw 的兴趣——还是会做大整个智能体工作流市场?
五天六版本:推理、记忆与执行策略
核心项目接连发布了 v2026.4.7 至 v2026.4.12,本周最重要的变化落在旗舰 4.7 版本中。
一流的推理编排
新增的 openclaw infer 命令统一了跨文本、图像、音乐、视频和语音提供商的调用。自动提供商回退在主提供商不可用时重映射尺寸、分辨率和时长提示。对于生产部署,这意味着模型端点宕机时硬故障更少——系统优雅降级而非崩溃。
Memory-Wiki 恢复
v2026.4.7 重新捆绑了完整的 memory-wiki 技术栈,包括插件基础设施、CLI 同步工具、结构化 claim/evidence 字段、claim 健康检查和新鲜度加权搜索。会话持久化现在支持压缩检查点和分支,让运维人员可检查并恢复压缩前的状态。
其他亮点
- Webhook 入口——内置的 webhook 插件让外部自动化平台(n8n、Zapier、自定义系统)通过按路由的共享密钥端点触发 OpenClaw 任务流。
- 本地推理——LM Studio 提供商原生捆绑,含入门流程、运行时模型发现和记忆搜索嵌入。本地 MLX 语音为 Talk Mode 增加离线语音合成。
- 清单驱动的插件激活——将 CLI、提供商和渠道加载收窄到已声明的需求,减少冷启动面。
- 执行策略 CLI——v2026.4.12 引入本地执行策略命令,用于将请求的工具声明与本地审批文件同步,为高风险操作上的显式 human-in-the-loop 授权奠定基础。
安全:CVE、研究论文与 Cisco 的 DefenseClaw
安全主导了本周的新闻。评估或运行 OpenClaw 的企业团队应审阅本节每一项。
修复的关键漏洞
CVE-2026-40037(CVSS 7.1)——fetchWithSsrFGuard 中的请求体重放漏洞,可跨跨源重放敏感数据——已在 v2026.4.8 中修复。另外披露了多个高危 CVE,涵盖通过范围边界绕过的权限提升(CVE-2026-35669,CVSS 8.8)、本地重连时的静默权限升级(CVE-2026-35625,CVSS 8.5)、Control UI 中未认证的权限保留(CVE-2026-35638,CVSS 8.7),以及 Canvas 网关身份验证绕过(CVE-2026-35634)。所有漏洞均已在当前版本中修复。
另一起 Docker AuthZ 绕过(CVE-2026-34040,CVSS 8.8)影响 OpenClaw 沙箱化部署——Docker 在授权中间件之前静默丢弃超过 1MB 的 HTTP 请求体,使攻击者可创建具备主机文件系统访问权限的特权容器。任何依赖 Docker 执行隔离的 OpenClaw 部署都应立即审阅。
研究:状态投毒是结构性问题
UC Santa Cruz 发表了一项真实世界安全分析,使用 CIK(Capability、Identity、Knowledge)分类法在四个骨干模型上跨 12 个攻击场景对 OpenClaw 进行测试。关键发现:即使最具抵抗力的配置(Opus 4.6 加 Identity 投毒防御)仍有 33.1% 的攻击成功率,证明状态投毒是结构性问题,而非模型特定问题。这不是一个可修补的 bug——而是治理层必须为之留出余地的架构属性。
Cisco 推出 DefenseClaw
Cisco 发布了 DefenseClaw,一个基于 NVIDIA OpenShell 构建的开源安全治理层,在执行前扫描每个技能、MCP 服务端、A2A 插件和智能体生成的代码。功能包括对每条消息的运行时内容扫描、在两秒内完成的强制 block/allow-list 执行,以及从智能体实例化开始的统一 Splunk 可观测性。
另外,据报道 Cisco 正 advanced 谈判以 $250-350M 收购 Astrix Security,以加强 AI 智能体身份和访问管理——这笔交易与 OpenClaw 安全关切直接相关。
凭据架构指南
Auth0 发布了详细指南,讲述 OpenClaw 扁平明文 .env 凭据模型如何让 ClawHavoc 运动得以发生。推荐修复:用 Auth0 Token Vault 替换明文密钥,按技能发放短时效、范围受限的令牌,并限制域级网络访问。
红队结果
Sophos 对 OpenClaw 进行了针对传统内部网络的红队测试,将 Active Directory 侦察从三天缩短到三小时,产生 23 项可操作发现。智能体展示了创造性提权——独立建议了一台 EC2 GPU 实例来破解哈希——但遵守了所有配置的边界。Qualys 发表了补充分析,展示一个未授权的 OpenClaw 实例配合陈旧的 SID History 和禁用的 Kerberos 预认证如何能导致完全的域级沦陷。
技能市场:13,000 个技能,13-26% 存在漏洞
ClawHub 超过了 13,000 个社区技能,但独立审计持续指出 13-26% 存在可利用的安全漏洞。
在检测侧,研究人员发表了 SkillSieve——一个分层分诊框架,在 400 技能标注基准上达到 0.800 F1,几乎将 ClawVet 的 0.421 F1 翻倍。三层管道(正则/AST 模式匹配、按维度 LLM 分析、多 LLM 陪审投票)在 ARM 硬件上以每技能 $0.006 的成本 31 分钟处理 49,592 个真实 ClawHub 技能。如果 SkillSieve 被集成进 ClawHub 的提交管道,它能显著降低仍是企业首要关切点的恶意技能比例。
其他市场动态:plugin hooks 已升级到修改模式,即 LLM 输入/输出钩子现在可阻断并修改调用而非仅观察——使内容过滤和护栏强制能在插件层执行。Trent AI 在 ClawHub 上发布了安全评估技能,可对 OpenClaw 配置、环境变量和已安装技能进行自动化审计,并提供可操作的修复指引。
生态与采用
- 截至 4 月 13 日,357,000 GitHub stars / 72,300 forks。该项目继续稳居 GitHub 最高星标仓库,约五周内超越 React 八年的积累。
- project44 发布了基于 OpenClaw 构建的 AI 智能体组合用于货运采购,报告近百万次自动化承运商通信和 75% 的数据问题解决时间缩短。
- Optimizely 的 “Opal University” 培训项目在一个欧洲队列中五天内培养了 375 个可用智能体,证明非技术业务用户也能通过结构化培训构建可工作的智能体。
- 智谱 AI 推出了 AutoClaw,一款面向中国企业环境的可本地安装 OpenClaw 变体;股价上涨超 11%。
- BCG 发布了 CIO 指南,将 OpenClaw 定位为需要等同于"雇佣新员工"的治理——身份管理、分级权限、持续监控。
- CloudBees 发布了 Stage 3 治理框架,警告大多数组织仍处于 Stage 1-2,而智能体能力已能支撑受界的自主执行。
关注事项
- Microsoft Build 2026(6 月)——M365 Copilot 中 OpenClaw 式自主智能体的首次公开预览。如果 Microsoft 发布企业级智能体基础设施,它可能既为 OpenClaw 的架构模式正名,又同时与自托管部署竞争。
- Anthropic 按 token 计费迁移——关注用户向开源模型的迁移模式,随订阅定价变化生效。OpenClaw 的提供商无关设计使切换模型成为配置变更而非重写。
- Cisco DefenseClaw 采用——首个生产级、开源的智能体式 AI 安全治理层。早期部署故事将表明安全生态是否在快速成熟到足以服务受监管行业。
- SkillSieve 集成——如果这个 0.800 F1 检测框架被 ClawHub 采用,可能削减让企业安全团队夜不能寐的 13-26% 恶意技能率。
- AAIF 标准峰会——Linux Foundation 支持的 Agentic AI Foundation 已计划在东京和阿姆斯特丹举行聚焦 MCP 互操作性的峰会。结果将决定 OpenClaw 是继续作为主导协议还是面临分裂。
下周请继续关注 OpenClaw 与更广泛 AI 智能体生态的最新动态。如果你的组织正在为企业部署评估 OpenClaw,需要在安全、治理和集成方面获得帮助,请联系 Big Hat Group。