本周的头条事件毫无疑问是 Microsoft Build 2026,Redmond 全力押注 OpenClaw——发布了基于 OpenClaw 技术打造的首个 “Autopilot” 企业级代理 Scout,并演示了原生 OpenClaw Windows 应用。与此同时,研究人员披露了 OpenClaw 在六大消息平台上 allowlist 身份解析中的五个严重零日漏洞,凸显出爆发式增长带来的安全成熟度差距。而 OpenClaw 与 NVIDIA 的技能安全合作则发布了关于多层扫描的详细发现,可能定义整个行业对代理技能的审核方式。
Microsoft Build 2026:OpenClaw 走向舞台中央
本周——也可以说是本年度 OpenClaw 生态最重要的事件——是微软在 Build 2026 上对 OpenClaw 的深度拥抱。
Microsoft Scout 是公司首个 “Autopilot” 代理:一个集成于 Microsoft 365(Teams、Outlook、OneDrive、SharePoint)的常驻个人助理,拥有独立的 Entra ID 身份、Work IQ 上下文以及 MCP 服务器访问权限。CEO Satya Nadella 将 Autopilot 描述为"企业级 Claw——具备完全企业合规能力的自主、长时运行代理"。Scout 通过 Copilot Frontier 项目提供,每个 Scout 实例都拥有可命名的身份(演示中将其命名为 “Sebastian”),并预装了日历管理、会议议程和任务协调等技能。
这里的意义不仅在于又一款微软 AI 产品——而在于其架构。Scout 是 基于 OpenClaw 构建的,而非与之竞争。微软正将策略合规贡献上游给 OpenClaw,这意味着运行 OpenClaw 的组织很快就能根据企业安全与合规要求验证其环境,并获得审计就绪的答案。这将 OpenClaw 定位为代理基础设施事实上的开源标准,而微软是贡献伙伴而非竞争对手。
微软还在 Build 上演示了原生 OpenClaw Windows 应用,并配以企业级安全控制,将 OpenClaw 直接引入 Windows 生态。Windows 团队发布了"Windows Development Skills"——供代理(包括 OpenClaw)使用的结构化代理知识,用于使用 WinUI3 构建原生 Windows 应用。
安全现实:五个严重零日漏洞
Build 的狂热被 6 月 8 日一份令人警醒的披露蒙上阴影。安全研究员 Philip Garabandic 公布了 OpenClaw allowlist 身份解析系统中五个严重零日漏洞的详情。
核心缺陷简洁而精妙:OpenClaw 的信任模型依赖用户自定义的 allowlist 来决定谁可以与代理交互。人类可读的显示名称会在服务初始化时被解析为稳定的用户 ID。由于在大多数聊天平台上显示名称是可变的,攻击者只需将自己的显示名称更改为与 allowlist 中的身份相匹配,即可冒充受信任用户。
该问题最初在 OpenClaw 的 Telegram 集成中被发现(GHSA-mj5r-hh7j-4gxf),但同样的根因还出现在另外五个渠道扩展中:Slack、Discord、Matrix、Zalo 和 Microsoft Teams。每个扩展都独立地重新引入了同样不安全的模式——这是一种反复出现的设计缺陷,而非偶发的 bug。
这些漏洞是用 agentgg 发现的,这是一款 AI 驱动的静态分析工具,可根据历史安全公告生成自定义检测器。该工具分析了以往的 OpenClaw CVE,并针对反复出现的反模式开发了有针对性的检测逻辑。
OpenClaw 维护者已应用修复,强制执行严格的基于 ID 的匹配,并将基于名称的解析置于显式配置标志之后。但这一发现方法值得关注:随着 AI 驱动的安全工具走向成熟,我们应该预期会有更多针对复杂代理平台的自动化发现。
IANS Faculty 的 Guillaume Ross 直言不讳:“像 OpenClaw 这样的工具仍然非常新,未经受过太多实战检验……我们可以预期会发现许多类似的漏洞。“Josh More 补充道:“一直以来的意图都是在扫描器成熟后用 AI 扫描器测试这些工具。我们最近刚刚跨过了这个门槛。”
NVIDIA 合作:代理技能到底有多安全?
OpenClaw 与 NVIDIA 的技能安全合作于 5 月首次宣布,本周发布了技术细节——数据讲述了一个发人深省的故事。
现在每个 ClawHub 技能都附带一张 NVIDIA Skill Card,这是一份开放的信任工件,记录了发布者、功能、ClawScan 的发现,以及由 ClawHub(而非自报)进行的来源验证。ClawScan 流水线在目录发布前运行三款独立的扫描器:
- 静态分析(自定义 OpenClaw 扫描器)
- VirusTotal(恶意软件声誉)
- NVIDIA SkillSpector(针对代理风险的 AI 辅助语义分析)
关键发现:这三款扫描器的重叠极少。在 67,453 条技能记录中,没有一对扫描器在合计阳性结果上的重合度超过 10.4%。只有 0.69% 的技能(468 / 67,453)同时被三者标记。整整 81.9% 的阳性发现仅来自单一扫描器。
这对企业团队的启示:单一的安全扫描器——无论是恶意软件检测、静态分析还是 AI 行为分析——都不足以审核代理技能。全面防护需要覆盖不同风险面的多层扫描。NVIDIA Skill Card 模型值得持续关注,它可能成为行业应对代理供应链安全问题的模板。
版本发布与生态要点
OpenClaw 2026.6.1 作为最新稳定版发布,而 2026.6.5-beta 预发布版带来了重要的 MCP 改进——工具结果强制转换以防止 Anthropic 400 错误、Gateway 重启后的 extended-thinking 恢复,以及更严格的 MCP 租约时间戳。新的 Parallel 捆绑式网络搜索提供方加入了提供方名单。
clawpatch 是 OpenClaw 全新的自动化代码审查工具,可将仓库映射为语义特性切片,由 AI 提供方审查每个切片,并通过 PR 落地修复。它被定位为商业 AI 代码审查工具的轻量级开源替代品。
在生态方面,NanoClaw 作为以安全为核心的轻量级替代方案发布,具备 Docker 容器隔离和刻意精简的代码库。ClawX Desktop 现已捆绑 WeChat 集成。Agent37 宣布以 $3.99/月起提供白标 OpenClaw 托管服务,让代理机构更易于提供托管代理服务。
社区投票选出的最佳 OpenClaw 模型(截至 6 月 7 日):Kimi K2.5,其次是 GLM 4.7 和 Claude Opus 4.6。
值得关注
Microsoft Scout 企业推广:微软首个基于 OpenClaw 的 Autopilot 在真实企业部署中的表现,将为整个代理类别设定预期。上游的策略合规贡献将重塑组织治理 OpenClaw 实例的方式。
AI 驱动的漏洞发现加速:通过学习历史 OpenClaw CVE 来发现这些零日的 agentgg 工具,标志着自动化安全研究的新时代。运行 OpenClaw 的组织应加快补丁节奏并审计其代理部署策略。
技能卡标准化:NVIDIA Skill Card 模型——采用多扫描器、独立验证的方式——可能成为代理市场的行业标准。留意 ClawHub 替代品和企业内部技能注册表的采纳情况。
OpenClaw 周刊由 Big Hat Group 出品,这是一家专注于 Azure、Windows 365 和 AI 代理的咨询公司。如需在您的企业中部署和加固 OpenClaw,请通过 bighatgroup.com 联系我们。