OpenClaw 生态本周交付了最受期待的功能——v2026.6.1-beta.1 中受管技能创建流程 Skill Workshop——但安全故事主导了讨论。研究人员披露了一个将供应链据点链接为全面 agent 沦陷的四漏洞"Claw Chain"首个针对 OpenClaw 密钥的已确认 infostealer 恶意软件在野外被记录,新加坡网络安全局发布正式公告敦促组织谨慎对待生产部署。

对评估自托管 AI 智能体的 IT 和安全领导者而言,本周清晰地框定了核心张力:平台正在快速成熟,但安全治理模型尚未跟上。以下是完整的执行简报。

赶时间? 核心要点:(1) Skill Workshop 为 OpenClaw 带来受管的技能创建——对企业可扩展性是重大进展;(2) “Claw Chain” 漏洞披露暴露了平台雄心与当前安全姿态之间的差距;(3) 首个野外针对 OpenClaw 配置的 infostealer 对任何将密钥存储在磁盘上的人是一记警钟;(4) Microsoft 的 ClawPilot 现有 3,000+ 内部用户,表明严肃的企业兴趣。跳到 关注事项 或预约 咨询通话 如果你正在规划部署。

Skill Workshop:为开放技能模型带来治理

本周落地的最大特性是 Skill Workshop——一个结构化、agent 引导的技能创建和评审流程,取代了此前构建和分发技能的临时方式。

v2026.6.1-beta.1(一个 98+ 提交的预发布版本)中,agent 现通过受管管道提议技能,含版本化 frontmatter、批准/拒绝/隔离操作、回滚保障,以及一个完整的 Control UI 仪表板,含提议列表、今日视图、修订对话框和文件预览。技能工作坊工具(skill_workshop)与 Codex app-server 提示词集成,使 agent 知道何时使用它,并有一个集中式核心技能索引处理加载、状态、过滤和提示词格式化。

为何对企业团队重要。 开放技能模型一直是 OpenClaw 最大的优势和最大的风险。Skill Workshop 解决的是这一等式中"审核"的一面——在 agent 或用户安装第三方技能前为运维人员提供结构化评审流程。但它并未解决运行时隔离或信任评分问题。NVIDIA 的 Skill Cards(安装时的静态与语义技能分析)在同一发布周期中出现,暗示分层安全方法。对于生产部署,Skill Workshop 必要但不充分——组织仍应在顶层叠加身份、沙箱和审计控制。关于平台走向的更宽广视角,请参见我们的 State of OpenClaw 2026 分析

更多内容:Skill Workshop 文档

“Claw Chain”——四个可链式漏洞

Cyera 研究人员 披露了四个可链式漏洞,共同构成迄今记录的最危险 OpenClaw 攻击链。全部四个均已在 v2026.4.22+ 修复,但暴露面令人震惊:Shodan 识别出约 65,000 个公开可访问的 OpenClaw 实例;ZoomEye 识别出约 180,000 个

该链条这样运作:在 OpenShell 内的一个处据点(通过提示注入、恶意插件或被攻破的输入)即可同时利用全部三个沙箱层漏洞——通过文件系统读逃逸进行数据外泄(CVE-2026-44113,CVSS 7.7)、通过 MCP loopback 头绕过进行提权(CVE-2026-44118,CVSS 7.8),以及通过 TOCTOU 文件系统写逃逸实现持久化(CVE-2026-44112,CVSS 9.6 关键)。另一起执行 allowlist 环境变量披露(CVE-2026-44115,CVSS 8.8)可通过未加引号的 heredoc 泄漏 API 密钥。

为何重要。 这不是理论攻击。该链条无需任意代码执行——它通过每个 OpenClaw agent 默认使用的文件操作和 MCP 协议工作。任何运行未修补实例且暴露公共端点的组织都应将其视为立即打补丁警报。

来源:Cyera ResearchTNWCloud Security Alliance

首个已确认针对 OpenClaw 密钥的 infostealer

Hudson Rock 记录了首个野外专门针对 OpenClaw 配置文件的 infostealer 感染。一个 Vidar infostealer 变体(感染日期:2026 年 2 月 13 日)窃取了:

  • openclaw.json——网关认证令牌、电子邮件、工作区路径
  • device.json——用于设备配对和签名的公私钥,可冒充消息身份
  • soul.mdmemory/*.md——agent 行为定义、每日活动日志、私信和日历事件

Hudson Rock 得出结论:被窃数据足以完全沦陷受害者的数字身份。该恶意软件并非专门针对 OpenClaw——它扫描包含 “token” 和 “private key” 关键字的文件——但对 OpenClaw 用户的影响严重。

为何重要。 这一刻意味着 OpenClaw 社区再也不能把密钥存储当作"在磁盘上就够了"。驱动 agent 身份和记忆的同样文件现在是活跃攻击目标。组织应将 OpenClaw 密钥迁移到凭据库存储(Azure Key Vault、HashiCorp Vault 或 Windows Credential Manager),并将 device.json 视同 SSH 私钥——绝不在未加密情况下存于磁盘。

来源:BleepingComputerHudson Rock

新加坡 CSA 公告——对生产风险的正式警告

新加坡网络安全局(CSA) 发布 AD-2026-005 公告,正式记录了 OpenClaw 的系统性风险:未修补漏洞、弱访问控制、敏感数据暴露、恶意第三方技能和记忆投毒。公告建议组织应用零信任原则,并避免以开源形态在任务关键或高度敏感环境中部署 OpenClaw

这加入了 2026 年全年来自中国、韩国和比利时的政府警告和限制。模式一致:监管者正密切关注自主 agent 框架,OpenClaw 的开放技能模型受到特别审视。

为何重要。 政府公告不是禁令——但它们改变了合规讨论。受新加坡监管边界覆盖或在类似指引司法管辖区运营的组织,需要证明其 OpenClaw 部署包含超出开源项目所提供的分层安全控制。这正是加固型企业部署旨在填补的空白。

来源:CSA 公告 AD-2026-005

Microsoft ClawPilot 达到 3,000+ 内部用户

Microsoft 内部基于 OpenClaw 的桌面助手 ClawPilot(“Project Lobster"下)从约 100 名内部测试者在 5 月初扩展到 3,000+ 用户。由企业副总裁 Omar Shahine 主导,ClawPilot 提供一支常驻 agent 团队,监控用户信号、分流收件箱并跟进行动项。一个基于 OpenClaw 构建的 Teams 插件 已在内部可用,Microsoft 正在为 Microsoft 365 Copilot 试验更安全、企业级的 OpenClaw 式能力,预计在 Build 前后推出。

为何重要。 Microsoft 自己的内部采用为以 Microsoft 为中心的环境——正是 Big Hat Group 专注的环境——验证了该架构。ClawPilot 从 100 到 3,000 用户约一周的快速扩展,信号表明 Microsoft 在 OpenClaw agent 模型中看到真实的生产力价值。对使用 Microsoft 365 的企业而言,这降低了"它是否企业就绪"的风险:如果 Microsoft 信任 OpenClaw 用于自己的员工,问题就变成"我们如何加固它?“而非"我们是否该用?“阅读我们完整的 ClawPilot 面向 Microsoft 中心 IT 团队的深入分析

来源:GeekWireCloud Wars

ASRock Claw Quickset——一键 Windows 安装器

ASRock 发布 Claw Quickset,一款一键式 Windows 应用,在 ASRock Claw 掌机和其他 Windows PC 上自动化 OpenClaw 安装。它提供本地 vs 云端模型设置、运行时管理和工作区配置的 GUI 向导——无需手动终端命令。

为何重要。 这是首个面向消费者的 OpenClaw Windows 安装器。尽管 ASRock 目标市场是掌机游戏 PC 用户,同一安装模式直接适用于 Windows 365 Cloud PCAzure Virtual Desktop——IT 需要在这些环境中部署 OpenClaw 而不要求用户导航 CLI 设置。预计企业部署工具会沿用这一模式。

来源:ASRock

上游加固与其他发布

除 Skill Workshop 外,发布列车还交付了有意义的安全加固:

  • Windows ComSpec 劫持已修复 (#77472)——进程包装器现通过共享解析器路由,并拒绝 UNC 路径和分号分隔的路径列表。
  • 插件诊断信任 (#77516)——仅内置或 @openclaw/diagnostics-* 包获得内部诊断能力。
  • fs-safe 库——新增用于安全路径解析和符号链接攻击防护的文件系统加固库 (GitHub)。
  • Gateway 配置以失败收场——v2026.6.1-beta.1 中的破坏性变更意味着无效配置会让 Gateway 完全停止,而非从最后已知良好状态自动恢复。通过 openclaw doctor --fix 修复。
  • v2026.5.3-1 中的性能 DoS (#77519)——运维人员应完全避免此版本,因存在 1500x 的 sessions.list 回归。

稳定版 v2026.5.28 发布,含 Claude Opus 4.8 支持、带原生 iPad 布局的 iOS Pro UI、面向 Copilot 和 Codex 运行时的 Supervisor 插件,以及加密 PDF 渲染。

EnterpriseClaw 与治理生态

CIO.com 报道了 EnterpriseClaw,一个商业治理层,支持防火墙后的 agent 管理,含策略执行、审计链路和合规控制。另外,AxonFlow 交付了对 OpenClaw 工具调用和出站消息的结构化策略执行——面向 agent 工作流的治理即代码。

这些第三方治理产品与 OpenClaw Foundationopenclaw.org)并行形成,后者将自己定位为确保 OpenClaw 保持"独立、社区驱动、永远开放”。Foundation 参与者包括 MicrosoftGitHubAtlassianConvex 和通过 GitHub Secure Open Source Fund 的 OpenAI

为何重要。 与核心项目并行正在形成一个治理生态——填补上游项目无法优先考虑的安全与合规空白的商业层。对企业采购方而言,这是健康信号:“加固版 OpenClaw"的讨论正从"是否该有人构建这个?“演变为"哪家厂商的治理层适合我们的技术栈?”

来源:CIO.comAxonFlow

关注事项

  • Skill Workshop 进入稳定版。 受管技能创建流程本周以 beta 落地。稳定版时间表将决定它是否能实质改善 CSA 所标记的技能信任模型。
  • Microsoft Build 2026。 预计在 Build 前后发布的 M365 Copilot agent 能力,既可能为 OpenClaw 架构正名又可能直接竞争。ClawPilot 的 3,000 用户内部测试是强有力的先行指标。
  • Claw Chain 补丁采用。 在 65,000 到 180,000 个暴露实例和一份公开记录的完整攻击链面前,补丁速度将是对 OpenClaw 更新生态的重大考验。
  • infostealer 反制措施。 Vidar 案例很可能只是开端。预计凭据入库、磁盘加密配置以及可能的运行时密钥扫描将涌现为必备特性。
  • Gateway 配置 fail-closed。 v2026.6.1-beta.1 中的破坏性变更会抓住依赖自动恢复的运维人员。在应用更新前先熟悉你的 doctor --fix

下周请继续关注 OpenClaw 生态动态汇总。如果你的组织正在为生产环境评估 OpenClaw——无论在 Windows 365、Azure 还是 Microsoft 生态的任何位置——请联系我们。Big Hat Group 交付 加固型 OpenClaw 部署,配备 Entra ID 身份、签名技能、Intune 合规和 Azure 原生架构。