OpenClaw 生態系本週來到轉折點。Anthropic 切斷第三方代理框架的訂閱制存取,並暫時暫停 OpenClaw 建立者 Peter Steinberger 的帳號。Microsoft 確認正在將 OpenClaw 風格的自主代理直接內建至 M365 Copilot,預覽版預計於 6 月 Build 2026 推出。同時,核心專案在五天內發布六個版本,跨越 357,000 個 GitHub stars,帶來一流的推論協調、重建的記憶體基礎架構,以及關鍵安全修補。以下是本週 OpenClaw 週報中對企業團隊最重要的內容。


Anthropic 對第三方代理存取劃清界線

本週最大消息是 OpenClaw 與其最熱門模型供應商之間日益升溫的緊張。自 4 月 4 日起,Anthropic 終止了第三方代理框架(含 OpenClaw)的訂閱制存取(Claude Pro/Max)。使用者現在必須透過 API 按 token 付費。Anthropic 引用自主代理產生遞迴推理模式所造成的「前所未有的容量限制」

情況在 4 月 10 日升溫,Anthropic 的自動化系統暫時暫停 Steinberger 的個人帳號,將其使用標記為「可疑」。在 Anthropic 工程師介入後,帳號於數小時內恢復。Steinberger 表示他以基金會負責人身分使用 Claude 僅為 OpenClaw 相容性測試。

對企業團隊而言,實質影響在於成本與架構。圍繞 Claude 訂閱建構 OpenClaw 工作流程的組織現在面臨按 token 計費。一線希望:OpenClaw 的供應商無關設計意味切換至 OllamaQwenGemma 4 或其他開源模型只需極小重新組態。關注未來數週的遷移模式——此一定價變更可能加速向自託管推論的轉移。


Microsoft 將 OpenClaw 風格代理內建至 M365 Copilot

Microsoft 確認,由 Omar Shahine(企業副總裁,前 Word 負責人)帶領的專屬團隊正在 Microsoft 365 Copilot 內原型化 OpenClaw 風格自主代理。根據 TechCrunch,開發中的能力包括 Outlook 收件匣與行事曆監控以主動提供日常任務建議、跨應用多步驟工作流程,以及針對行銷、銷售與會計的角色專屬代理(具範圍權限)。

最早預覽預計於 6 月 Build 2026 推出。

這件事重要,因為 Microsoft 將 OpenClaw 的架構模式建入第一方產品,對需要 Microsoft 安全、合規與治理包裝的企業買家驗證了代理式模型。這也帶出策略性問題:若 Microsoft 推出具企業級身分管理的自主代理,是否會降低以 M365 為中心的組織對自託管 OpenClaw 的興趣——或反而擴大整體代理式工作流程市場?


五天六版:推論、記憶體與執行政策

核心專案相繼發布 v2026.4.7 至 v2026.4.12,本週最重大的變更落在旗艦 4.7 版。

一流推論協調

新的 openclaw infer 指令標準化跨文字、影像、音樂、影片與語音供應商的呼叫。自動供應商備援在主要供應商不可用時重新對應尺寸、解析度與時長提示。對生產部署而言,這意味模型端點故障時的硬性失敗更少——系統會優雅降級而非崩潰。

記憶體 Wiki 重建

v2026.4.7 重新捆裝完整的記憶體 wiki 堆疊,包含外掛基礎架構、CLI 同步工具、結構化 claim/evidence 欄位、claim 健康 lint 與新鮮度加權搜尋。工作階段持久化現在支援壓縮檢查點與分支,讓營運者可檢視並還原壓縮前狀態。

其他重點

  • Webhook 進入——捆裝 Webhook 外掛讓外部自動化平台(n8n、Zapier、自訂系統)透過每路由共享密鑰端點觸發 OpenClaw 任務流程。
  • 本地推論——LM Studio 供應商原生捆裝,含入門流程、執行階段模型探索與記憶體搜尋嵌入。本地 MLX 語音為 Talk Mode 加入離線語音合成。
  • 清單驅動外掛啟用——將 CLI、供應商與通道載入縮窄至宣告需求,降低冷啟動面積。
  • 執行政策 CLI——v2026.4.12 引入本地執行政策指令,用於同步請求的工具宣告與本地核准檔案,為高後果操作的外顯人類介入授權奠定基礎。

安全:CVE、研究論文與 Cisco DefenseClaw

安全主導了本週消息。評估或執行 OpenClaw 的企業團隊應檢視本節每一項。

重大漏洞修補

CVE-2026-40037(CVSS 7.1)——fetchWithSsrFGuard 中的請求主體重放漏洞,允許敏感資料跨來源重新導向重放——已在 v2026.4.8 修補。另有多個高嚴重度 CVE 披露,涵蓋透過範圍邊界繞過的權限提升(CVE-2026-35669,CVSS 8.8)、本地重新連線時的靜默權限升級(CVE-2026-35625,CVSS 8.5)、Control UI 中未驗證的權限保留(CVE-2026-35638,CVSS 8.7),以及 Canvas Gateway 驗證繞過(CVE-2026-35634)。皆已於目前版本修補。

另一個獨立的 Docker AuthZ 繞過CVE-2026-34040,CVSS 8.8)影響 OpenClaw 沙箱部署——Docker 在到達授權中介層前靜默丟棄超過 1MB 的 HTTP 請求主體,使攻擊者能建立具主機檔案系統存取權的特權容器。任何依賴 Docker 進行執行隔離的 OpenClaw 部署應立即檢視。

研究:狀態投毒是結構性的

UC Santa Cruz 發表了 OpenClaw 的真實世界安全分析,使用 CIK(Capability、Identity、Knowledge)分類法跨四個主幹模型的 12 個攻擊情境。關鍵發現:即使最抗攻擊的組態(Opus 4.6 加 Identity 投毒防禦)仍有 33.1% 攻擊成功率,證明狀態投毒是結構性而非模型特定的問題。這不是可修補的漏洞,而是治理層必須考量的架構特性。

Cisco 推出 DefenseClaw

Cisco 發表 DefenseClaw,一套基於 NVIDIA OpenShell 建構的開源安全治理層,會在執行前掃描每個技能、MCP 伺服器、A2A 外掛與代理產生的程式碼。功能包括每則訊息的執行階段內容掃描、必備的阻擋/允許清單強制執行(兩秒內完成),以及從代理實例化起的統一 Splunk 可觀測性。

另據報導,Cisco 正進行收購 Astrix Security 的進階談判,金額 2.5-3.5 億美元,以強化 AI 代理身分與存取管理——此交易直接與 OpenClaw 安全疑慮相關。

憑證架構指引

Auth0 發表詳細指引,說明 OpenClaw 的平面明文 .env 憑證模型如何助長 ClawHavoc 攻擊。建議修復:以 Auth0 Token Vault 取代明文金鑰,為每個技能提供短效、範圍受限的權杖,並限制網路存取範圍。

紅隊測試結果

Sophos 對 OpenClaw 進行紅隊測試,將 Active Directory 偵察從三天縮短至三小時,產出 23 項可行發現。代理展現創意的權限提升——獨立建議使用 EC2 GPU 執行個體破解雜湊——但遵守所有組態邊界。Qualys 發表互補分析,展示未授權的 OpenClaw 實例結合過時的 SID History 與停用的 Kerberos 預先驗證,可能導致完整網域全面淪陷。


技能市集:13,000 個技能,13-26% 有漏洞

ClawHub 超越 13,000 個社群技能,但獨立稽核持續標記 13-26% 含可利用的安全漏洞

在偵測端,研究人員發表 SkillSieve——一套階層式分類框架,在 400 個技能的標記基準上達到 0.800 F1,幾乎是 ClawVet 0.421 F1 的兩倍。三層管線(regex/AST 模式比對、各維度 LLM 分析、多 LLM 評審投票)在 ARM 硬體上 31 分鐘處理 49,592 個真實 ClawHub 技能,每個技能 $0.006。若 SkillSieve 整合進 ClawHub 的提交管線,可能實質降低仍是企業首要疑慮的惡意技能比例。

其他市集發展:外掛掛鉤升級至修改模式,意味 LLM 輸入/輸出掛鉤現在可阻擋並修改呼叫,而非僅觀察——實現外掛層的內容過濾與護欄強制。Trent AI 在 ClawHub 推出安全評估技能,提供 OpenClaw 組態、環境變數與已安裝技能的自動化稽核,並附可行修復指引。


生態系與採用

  • 截至 4 月 13 日,357,000 GitHub stars / 72,300 forks。專案仍是 GitHub 上最多星星的儲存庫,約五週內超越 React 八年的累積。
  • project44 推出 AI 代理產品組合,基於 OpenClaw 建構,用於貨運採購,報告近百萬次自動化託運人通訊,資料問題解決時間縮短 75%。
  • Optimizely 的「Opal University」 培訓計畫在歐洲班五天內產出 375 個可用代理,證明非技術業務使用者也能透過結構化培訓建構可用代理。
  • 智譜 AI 推出 AutoClaw,可本地安裝的 OpenClaw 變體,針對中國企業環境;股價上漲逾 11%。
  • BCG 發表 CIO 指引,將 OpenClaw 定調為需要等同「僱用新員工」的治理——含身分管理、範圍權限與持續監控。
  • CloudBees 發表 Stage 3 治理框架,警告多數組織仍在 Stage 1-2,而代理能力已能執行有界的自主執行。

後續觀察重點

  • Microsoft Build 2026(6 月)——M365 Copilot 中 OpenClaw 風格自主代理的首次公開預覽。若 Microsoft 推出企業級代理基礎架構,可能一方面驗證 OpenClaw 的架構模式,同時與自託管部署競爭。
  • Anthropic 按 token 計費遷移——關注訂閱定價變更生效後,使用者向開源模型遷移的模式。OpenClaw 的供應商無關設計讓切換模型成為組態變更,而非重寫。
  • Cisco DefenseClaw 採用——首個生產級、開源的代理式 AI 安全治理層。早期部署案例將揭示安全生態系是否夠快成熟到能服務受監管產業。
  • SkillSieve 整合——若 0.800 F1 偵測框架被 ClawHub 採用,可能降低讓企業安全團隊徹夜難眠的 13-26% 惡意技能比例。
  • AAIF 標準高峰會——Linux Foundation 支持的 Agentic AI Foundation 計畫在東京與阿姆斯特丹舉行高峰會,聚焦 MCP 互通性。結果將決定 OpenClaw 是否仍是主導協定或面臨碎片化。

下週請回來查看 OpenClaw 與更廣泛 AI 代理生態系的最新消息。如果您的組織正在評估 OpenClaw 企業部署,且需要協助因應安全、治理與整合局勢,請聯繫 Big Hat Group