六个月前,OpenClaw 还只是一个周末项目。如今,它已成为一个拥有全职工程团队、38.2 万 GitHub Stars 和 450 万周安装量的 501(c)(3) 非营利组织。2026 年 7 月 7 日至 13 日这一周带来了工程领导者不可忽视的四项重大进展:OpenClaw 基金会的正式注册、一条极具破坏性的 WhatsApp 到主机攻击链、NVIDIA NemoClaw 的生产级上线,以及 MCP 无状态规范的最终倒计时。
工程负责人速览:(1)立即将所有 OpenClaw 实例升级至 2026.6.6+;(2)审计互联网暴露的网关——目前有 42,900 个实例可被公开访问;(3)启动 MCP 服务器迁移规划——无状态规范将于 7 月 28 日发布;(4)评估 NemoClaw 用于生产级 Agent 治理;(5)在 9 月 1 日促销额度到期前审查 Copilot AI Credit 预算。
OpenClaw 基金会:从项目到机构
7 月 8 日,OpenClaw 正式注册为 OpenClaw 基金会,一家 501(c)(3) 非营利组织。由创始人 Peter Steinberger 和 Dave Morin 联合创立,基金会将自身定位为"AI 领域的瑞士"——为各厂商在 Agent 标准上的协作提供中立平台。初始团队包括首席架构师 Vincent Koc 以及全职工程和运营人员。基金会正在积极招聘。
合作伙伴网络彰显了广泛的行业共识:OpenAI(主要捐赠方,负责推理和 Claw Labs)、NVIDIA(NemoClaw 安全)、Microsoft(Scout Agent,上游策略合规)、Tencent(全职维护者)、University of Michigan(最大捐赠方)、GitHub、Cloudflare、Vercel 和 Atlassian。
对于 CTO 而言,这消除了 OpenClaw 采用中最大的风险:单一维护者的巴士因子。凭借专职团队、机构化治理和多方支持,OpenClaw 正从社区项目向受治理的平台转型。
WhatsApp 攻击链:三个不容忽视的 CVE
安全研究员 Chinmohan Nayak 披露了三个高危漏洞,构成了一条完整的未认证远程代码执行(RCE)攻击链——仅需一条 WhatsApp 消息即可触发。这些漏洞被追踪为 GHSA-hjr6-g723-hmfm(CVSS 8.8)、GHSA-9969-8g9h-rxwm(CVSS 8.8)和 GHSA-575v-8hfq-m3mc(CVSS 8.4),影响 OpenClaw 2026.6.1 及以下版本,已在 2026.6.6 中修复。
攻击链利用了三个缺口:sanitizeEnvVars() 忽略了十二个解释器启动变量(如 NODE_OPTIONS 和 BASH_ENV),允许预加载代码;Git 的 ext:: 传输助手通过 git clone 实现任意命令执行;Docker 沙箱的父目录检查仅单向生效——挂载 /home 会暴露所有用户的 SSH 密钥和 AWS 凭证,挂载 /var 会暴露 Docker 套接字从而实现完整的主机逃逸。
Nayak 用一条伪装成调试请求的 WhatsApp 消息演示了攻击过程。Claude Sonnet 4 毫不犹豫地执行了操作。直白的攻击载荷在 40% 的情况下触发了拒绝,但相同的载荷包裹在看似合理的开发者上下文中后,在每个全新会话中都成功执行。模型无法区分合法请求与攻击者的相同措辞。
与此同时,SecurityScorecard 的 STRIKE 团队在 82 个国家发现了 42,900 个暴露的 OpenClaw 控制面板——其中 15,200 个被标记存在 RCE 风险。Hunt.io 另行发现 17,500 个实例存在 CVE-2026-25253 漏洞,允许未认证的 API 令牌提取。
行动项: 升级至 2026.6.6+,将网关绑定到回环地址,从面向频道的工具白名单中移除 exec,为非主会话启用沙箱模式,限制 DM 配对,若实例曾公开可达则轮换凭证。
NVIDIA NemoClaw:企业 Agent 的结构性安全
NVIDIA 于 7 月 8 日推出 NemoClaw——一套为 OpenClaw Agent 施加企业治理控制的安全栈。核心组件是 OpenShell,一种进程外运行时,通过 YAML 策略强制执行网络出站、文件系统访问和系统调用边界。关键在于,OpenShell 在 Agent 的地址空间之外执行——被攻陷的 Agent 无法覆盖自身的控制策略。策略支持热重载,当 Agent 缺乏权限时可提出策略更新供开发者审批。
NemoClaw 还提供隐私路由器,将敏感推理请求引导至本地 Nemotron 模型,确保受监管数据不经过外部端点。生命周期管理提供版本化蓝图、强化默认配置和审计日志。安装方式:curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash。
NVIDIA 将 NemoClaw 标记为 Alpha 阶段——适合受控试点,不适用于无人监管的生产环境。但其架构方向是正确的:结构化强制执行而非行为安全指令。对于因治理顾虑而暂缓采用 OpenClaw 的组织,NemoClaw 提供了一条通向受控部署的可信路径。
MCP 无状态规范:倒计时十五天
MCP 2026-07-28 规范将在十五天后发布——这是自发布以来最大的一次修订。协议级会话被完全移除:initialize/initialized 握手不再存在,Mcp-Session-Id 头不再存在,粘性路由不再需要。任何服务器实例都可以处理任何请求,从而支持简单的轮询负载均衡。
SEP-2575 将能力声明移入每请求的 _meta 字段,并引入新的 server/discover 方法。SEP-2567 移除会话头。SEP-2243 引入 Mcp-Method 和 Mcp-Name 头用于网关路由。MCP 服务器现在正式成为 OAuth 2.1 资源服务器,支持 RFC 9728 元数据和 RFC 8707 Resource Indicators。MCP Apps(服务器渲染的 HTML UI)和 Tasks(长时间异步工作流)成为一等公民。
Beta SDK 已提供 Python v2、TypeScript v2、Go 和 C# 版本。7 月 28 日不会出现破坏性变更——规范发布并非开关式切换——但遗留功能的十二个月弃用倒计时将正式开始。工程团队应将接下来的十五天视为迁移窗口期。
GitHub Copilot:9 月 1 日前的 AI FinOps
GitHub 基于用量的 AI Credit 计费持续完善。Copilot Billing Preview 应用将于 8 月 3 日下线,由原生仪表板取代,提供预算控制、通过用量指标 API 实现的每用户额度追踪,以及基于成本中心的额度池管理(REST API,已于 7 月 2 日上线)。
关键日期是 2026 年 9 月 1 日。促销额度将大幅缩减:Business 从每用户每月 3,000 降至 1,900 credits(削减 37%),Enterprise 从 7,000 降至 3,900(削减 44%)。基础价格不变,但计量空间缩小了三分之一到近一半。
各组织必须立即建立 AI Credit 预算,在 7 月和 8 月期间监控消费量(因为促销额度会掩盖稳态用量),并为 9 月的缩减做好准备。池化计费将团队的支出平均化——重度 Agent 用户将在额度池缩小时触发超额费用或服务暂停。
展望
2026 年 7 月 7 日至 13 日这一周标志着一个拐点。OpenClaw 向受治理基金会的转型、NVIDIA NemoClaw 治理层、MCP 无状态架构,以及 GitHub Copilot 不断成熟的经济模型,都表明整个行业正从实验阶段迈向制度化阶段。
对于 CTO 和工程负责人,接下来的九十天需要三项行动:加固 Agent 基础设施、准备 MCP 无状态过渡,以及在促销额度到期前实施 AI FinOps。工具已经就绪,治理正在到来。问题是,你的组织是否准备好以与其他关键任务基础设施同等严谨度来部署 Agent。
在 X 上关注持续分析:https://x.com/kkaminski