本週的 OpenClaw 週報帶來兩條前線的緊急消息:一個改寫平台能力的里程碑效能版本,以及每個生產部署都需要在週末前處理的關鍵安全通告。除此之外,一個 fork 剛募得 1,200 萬美元、一個企業治理平台問世,且一個聚焦代理系統的重大學術研討會明天開幕。OpenClaw 生態系這一週並不平靜。
⚠️ 安全優先:Claw Chain 攻擊
由 IANS Research 今日發布的“Claw Chain"通告描述了一個鏈式漏洞攻擊,可將 OpenClaw 的部分沙箱轉化為完全主機淪陷的發射台。
此鏈連結四個 CVE:
- CVE-2026-44115——暴露已儲存 API 金鑰與供應商憑證的邏輯缺陷
- CVE-2026-44118——提升至主機級權限的權限提升
- CVE-2026-43527 與 CVE-2026-43582——由金融安全管理局於昨日發布的平行通告中指出的關鍵缺陷
OpenClaw 文件對沙箱很坦白:「不是完美的安全邊界。」Claw Chain 攻擊利用此一坦白。在 API 金鑰儲存於範圍內的情況下,成功利用可掏空雲端供應商預算——不只是危及一台機器。本週稍早一篇 arXiv 論文(2605.23330v1)提供 OpenClaw 安全表面的首次系統性學術分析,將 Gateway 淪陷的爆炸半徑定調為比聊天機器人違規更為嚴重:Gateway 同時持有憑證、訊息帳號、檔案系統與工作階段歷史。
受影響部署的立即行動:
- 更新至 v2026.5.22+
- 輪換 Gateway 中儲存的所有 API 金鑰
- 若尚未設定則啟用
tools.exec.host=sandbox - 對照 ClawHavoc 已知惡意清單稽核已安裝技能(見下文)
另一個 CVE-2026-4039(技能環境處理器,applySkillConfigenvOverrides)也由 Endor Labs 記錄,影響 OpenClaw 2026.2.19-2。在 2026.2.12 之前版本的團隊暴露於 40+ 個未修補漏洞。
v2026.5.22:社群期盼的效能版本
5 月 24 日發布的最新穩定版本交付專案歷史上最重大的 Gateway 效能改進。頭條數字——4,100×——特別適用於 /models 端點,該端點在正常負載下曾耗時長達 30 秒。根本原因:每次呼叫重複的捆裝通道邊界檢查。修復重用行程穩定的通道目錄讀取並輪替 Gateway 監看 CPU 週期。在典型組態下,該端點現在在 10ms 內回應。
這在實務上重要,不只是基準測試。每次技能呼叫、每個新工作階段、每個模型路由決策都會觸碰模型目錄。30 秒等待在展示中看不見,但在任何有呼叫密度的生產管線中是災難性的。
效能工作之外,v2026.5.22 帶來:
- Meeting Notes 外掛——Discord 語音頻道成為一等資料來源。外掛轉錄語音會議並自動將結構化摘要呈現給代理,無需手動逐字稿上傳。
- Grok 網頁搜尋——xAI 的搜尋現為支援的網頁供應商,與 Perplexity 與 Brave 並列。
- 更智慧的子代理情境——產生的子代理接收目標情境切片而非完整工作階段傾印,顯著減少長時程任務的權杖花費。
- 跨 Gateway、通道介面卡與技能執行的100+ 項錯誤修復。
前一个 v2026.5.20 也值得注意:它收緊了不受信任技能執行的預設值(新安裝預設啟用沙箱模式、啟用 tools.exec.ask)、新增 Discord 語音頻道自動跟隨,並發布 xAI OAuth 裝置碼驗證以消除 Grok 使用者的手動 API 金鑰管理。
SKILL.md 重大變更:遷移您的來源
一個埋在發布列車中的結構變更值得更多關注。配對來源宣告已從 openclaw.plugin.json 移至每個 SKILL.md 的 frontmatter 中作為 sources: 陣列,由 bundle.ts 中的 loadSkillSources(D2 schema)驗證。未遷移的技能將在下個主要版本後無法載入。若您的團隊執行自訂技能或已釘選社群技能,現在就對 v2026.5.22 進行測試,以免遷移截止日引發慌亂。
EnterpriseClaw 與治理缺口
Automation Anywhere 於 5 月 19 日推出 EnterpriseClaw,明確將其定位為給想要 claw 風格代理但不想要開放技能模型責任的組織的治理層。該平台新增 vanilla OpenClaw 未提供的集中式政策強制執行、稽核軌跡與角色存取控制。
與 Claw Chain 通告的時機並非巧合。OpenClaw 在受監管環境中的結構性問題不是任何單一 CVE——而是架構:技能執行任意程式碼、沙箱是部分的,且沒有原生集中式政策機制。EnterpriseClaw 與 TrustClaw 等 fork 之所以存在,是因為修補個別 CVE 無法填補該架構缺口。
ClawHavoc:市集中仍有 1,200+ 個惡意技能
學術研究(OpenReview.net)記錄了ClawHavoc 攻擊,這是一個協調的供應鏈攻擊,可能已將超過 1,200 個惡意技能引入 ClawHub 登錄。範圍仍在評估中。在登錄現達 13,729+ 個技能的情況下,未審查安裝中的訊噪比是真正的企業風險。
社群緩解措施浮現:clawsec(prompt-security)提供具提示注入偵測與完整性監控的安全技能套件。騰訊的 EdgeOne Skill Scanner 在安裝前提供技能檔案的本地靜態分析。兩者都無法取代正式的技能審查政策,但對無法等待平台級修復的團隊,兩者都能降低表面積。
NanoClaw 募得 1,200 萬美元,拒絕 2,000 萬美元收購
NanoClaw 建立者拒絕 2,000 萬美元收購報價,改為募得 1,200 萬美元種子輪,現正接洽企業客戶。這是 OpenClaw fork 生態系中首個重大創投押注——訊號投資人看到在核心專案交付之外,效能最佳化變體中存在差異化價值。競爭 fork(ZeroClaw、PicoClaw、ZeptoClaw、TrustClaw)也日益獲得關注,ClawTrackr.com 現以定期比較分析追蹤此生態系。
此一碎片化映照早期瀏覽器時代動態:一個主導平台、多個追求特定使用情境或合規利基的專業 fork。對企業團隊的關鍵風險是技能相容性——為核心 OpenClaw 撰寫的技能可能未經修改無法在 fork 執行階段上執行。
生態系速度
社群資料點指向仍在加速的平台。374,681 GitHub stars 將 OpenClaw 置於 GitHub 歷史排名 #6。OpenClaw 建立者 Peter Steinberger 公開揭露 30 天內 130 萬美元的 OpenAI API 權杖用量——一個意外但具說服力的生產規模證明。
ACM AI 與代理系統研討會(CAIS 2026) 明天在聖荷西開幕(5 月 27-29 日)。這是首個聚焦代理系統的學術研討會,由 Two Sigma 的 Heather Miller 共同主持。預期研討會的研究產出將形塑 OpenClaw 下一週期的安全與治理藍圖。
部署基礎架構本週也趨成熟:DigitalOcean Marketplace 現列出可一鍵部署的 OpenClaw Droplet,openclaw-rocks/openclaw-operator Kubernetes operator 為大規模執行 OpenClaw 的團隊帶來生產級生命週期管理。
後續觀察重點
- Claw Chain 緊急修補:預期 OpenClaw 團隊本週針對 CVE 叢集發布 v2026.5.23 或 hotfix。關注 GitHub 發布動態。
- ClawHavoc 市集回應:1,200 技能攻擊可能迫使正式的市集審查政策公告。關注 ClawHub 提交要求的變更。
- ACM CAIS 2026 產出:本週研討會(5 月 27-29 日)的研究可能產出代理安全框架的基礎論文——對 OpenClaw 治理有直接意涵。
- NanoClaw 企業藍圖:首個獲資金且積極接洽企業的 fork。API 相容性承諾 vs. 核心 OpenClaw 將決定其技能生態系是碎片化或保持相容。
與 Big Hat Group 合作
若您的團隊正在因應本週的安全揭露、評估 EnterpriseClaw vs. 強化的核心 OpenClaw 部署,或建構需挺過 SKILL.md 遷移的自訂技能——我們可以協助。Big Hat Group 交付生產級 OpenClaw 企業部署,內建 Entra ID 身分、簽署技能、稽核日誌與網路分段。預約諮詢通話或探索我們的 AI 自動化服務。
下週請回來查看另一輪 OpenClaw 生態系摘要。