本周的 OpenClaw 周报 在两条战线上带来紧急消息:一次改写平台能力上限的里程碑性能版本,以及每个生产部署在周末前需要处理的关键安全公告。此外,一个 fork 刚融资 1200 万美元,一个企业治理平台发布,一场聚焦智能体系统的重要学术会议明天开幕。OpenClaw 生态本周并不平静。

⚠️ 安全优先:Claw Chain 攻击

IANS Research 今日发布的 “Claw Chain” 公告 描述了一种链式漏洞攻击,可将 OpenClaw 的部分沙箱转变为全面主机沦陷的跳板。

该链条连接四个 CVE:

  • CVE-2026-44115——暴露已存储 API 密钥和提供商凭据的逻辑缺陷
  • CVE-2026-44118——提权至主机级权限
  • CVE-2026-43527CVE-2026-43582——由金融安全管理局在昨日发布的并行公告中确认的关键缺陷

OpenClaw 文档对沙箱很坦诚:“不是完美的安全边界。“Claw Chain 攻击正是利用了这份坦诚。在 API 密钥存储范围内的成功攻击可耗尽云提供商预算——而不仅仅是沦陷一台机器。本周早些时候一篇 arXiv 论文 (2605.23330v1) 提供了对 OpenClaw 安全面的首次系统性学术分析,将网关沦陷的爆炸半径框定为在分类上大于聊天机器人泄露:网关同时持有凭据、消息账户、文件系统和会话历史。

受影响部署的立即行动:

  • 升级到 v2026.5.22+
  • 轮换存储在网关中的所有 API 密钥
  • 启用 tools.exec.host=sandbox(若尚未设置)
  • 对照 ClawHavoc 已知恶意清单审计已安装技能(见下文)

Endor Labs 还记录了 CVE-2026-4039(Skill Env Handler,applySkillConfigenvOverrides),影响 OpenClaw 2026.2.19-2。运行 2026.2.12 之前版本的团队暴露于 40+ 个未修补漏洞。

v2026.5.22:社区等待已久的性能版本

5 月 24 日发布的最新稳定版交付了项目历史上最重大的网关性能改进。头条数字——4,100×——专门适用于 /models 端点,该端点在正常负载下此前可能耗时 30 秒。根因:每次调用重复的内置渠道边界检查。修复复用进程稳定的渠道目录读取并轮转网关 watch CPU 周期。在典型配置下该端点现在 10ms 内响应。

这在实践中而不仅是基准上重要。每次技能调用、每个新会话、每次模型路由决策都会触及模型目录。30 秒的等待在 demo 中不可见,但在任何有调用密度的生产管道中都是灾难性的。

除性能工作外,v2026.5.22 还发布:

  • Meeting Notes 插件——Discord 语音频道成为一等数据源。该插件将语音会议转录并自动向 agent 提供结构化摘要,无需手动上传转录。
  • Grok 网页搜索——xAI 的搜索现作为受支持的 web 提供商与 Perplexity 和 Brave 并列。
  • 更智能的子 agent 上下文——派生子 agent 接收定向上下文切片而非完整会话转储,对长时任务显著减少 token 消耗。
  • 跨网关、渠道适配器和技能执行的 100+ 项 bug 修复

前一个 v2026.5.20 也值得一提:它收紧了不可信技能执行的默认值(新安装默认开启沙箱模式、启用 tools.exec.ask)、新增 Discord 语音频道自动跟随,并交付 xAI OAuth 设备码授权,免去 Grok 用户手动管理 API 密钥。

SKILL.md 破坏性变更:迁移你的源

藏在发布列车中的一项结构性变更值得更多关注。配对源声明已从 openclaw.plugin.json 迁移到每个 SKILL.md 的 frontmatter 中作为 sources: 数组,由 bundle.ts 中的 loadSkillSources(D2 schema)校验。未迁移的技能将在下一个主版本之后无法加载。如果你的团队运行自定义技能或已 pin 社区技能,请现在就针对 v2026.5.22 测试,避免迁移截止日期到来时手忙脚乱。

EnterpriseClaw 与治理空白

Automation Anywhere 在 5 月 19 日发布了 EnterpriseClaw,明确将其定位为面向希望拥有 claw 风格 agent 但不想要开放技能模型责任的组织提供的治理层。该平台新增原生 OpenClaw 不提供的集中策略执行、审计链路和基于角色的访问控制。

时机与 Claw Chain 公告同步并非巧合。OpenClaw 在受监管环境中的结构性问题不是任何单一 CVE——而是架构:技能运行任意代码、沙箱是部分的、没有原生的集中策略机制。EnterpriseClaw 和 TrustClaw 等 fork 的存在正是因为修补单个 CVE 并不关闭这一架构空白。

ClawHavoc:市场中仍有 1,200+ 恶意技能

学术研究(OpenReview.net)记录了 ClawHavoc 运动,一次协调的供应链攻击可能向 ClawHub 注册表引入超过 1,200 个恶意技能。范围仍在评估中。注册表现在有 13,729+ 技能,未经审核安装中的信噪比是企业真实风险。

社区缓解方案正在涌现:clawsec(prompt-security)提供安全技能套件,含提示注入检测和完整性监控。腾讯的 EdgeOne Skill Scanner 提供安装前对技能文件的本地静态分析。两者都不能替代正式的技能审核策略,但对无法等待平台级修复的团队而言都能减小攻击面。

NanoClaw 融资 1200 万美元,拒绝 2000 万收购

NanoClaw 创建者拒绝了 2000 万美元收购报价,转而融资 1200 万美元种子轮,现已签约企业客户。这是 OpenClaw fork 生态中首笔重要风险投资押注——信号表明投资者在性能优化变体中看到超越核心项目所交付的差异化价值。竞争性 fork(ZeroClaw、PicoClaw、ZeptoClaw、TrustClaw)也在获得关注,ClawTrackr.com 现已追踪这一格局并定期发布对比分析。

这种碎片化平行于早期浏览器时代的动态:一个主导平台,多个针对特定用例或合规利基市场的专业 fork。对企业团队而言关键风险是技能兼容性——为核心 OpenClaw 编写的技能可能未经修改无法在 fork 运行时上运行。

生态速度

社区数据指向一个仍在加速的平台。374,681 GitHub stars 让 OpenClaw 位列 GitHub 历史排名第 6。OpenClaw 创建者 Peter Steinberger 公开披露 30 天内 130 万美元的 OpenAI API token 用量——一次无意却极具说服力的生产规模证明。

ACM AI 与智能体系统会议(CAIS 2026) 明天在圣何塞开幕(5 月 27-29 日)。这是首届聚焦智能体系统的学术会议,由 Two Sigma 的 Heather Miller 联合主席。预计会议的研究产出将在下一周期塑造 OpenClaw 的安全和治理路线图。

部署基础设施本周同样成熟:DigitalOcean Marketplace 现已上线一键 OpenClaw Droplet,openclaw-rocks/openclaw-operator Kubernetes operator 为大规模运行 OpenClaw 的团队带来生产级生命周期管理。

关注事项

  • Claw Chain 紧急补丁:预计 OpenClaw 团队本周会发布 v2026.5.23 或热修复版本以回应 CVE 集群。关注 GitHub releases feed。
  • ClawHavoc 市场响应:1,200 技能运动很可能迫使正式的市场审核策略公告。关注 ClawHub 提交要求的变更。
  • ACM CAIS 2026 产出:本周会议(5 月 27-29)的研究可能产出关于智能体安全框架的基础性论文——对 OpenClaw 治理有直接影响。
  • NanoClaw 企业路线图:首个有活跃企业预订的受资 fork。API 兼容承诺与核心 OpenClaw 的关系将决定其技能生态是碎片化还是保持兼容。

与 Big Hat Group 合作

如果你的团队正在驾驭本周的安全披露、评估 EnterpriseClaw 与加固核心 OpenClaw 部署,或构建需要扛过 SKILL.md 迁移的自定义技能——我们可以提供帮助。Big Hat Group 交付生产级 OpenClaw 企业部署,内建 Entra ID 身份、签名技能、审计日志和网络分段。预约咨询通话 或了解我们的 AI 自动化服务

下周请继续关注 OpenClaw 生态动态汇总。