OpenClaw 生態系本週交付了最被期待的功能——v2026.6.1-beta.1 中受治理的技能建立流程 Skill Workshop——但安全故事主導了對話。研究人員披露可將供應鏈立足點鏈結為完全代理淪陷的四漏洞「Claw Chain」、首個經確認針對 OpenClaw 密鑰的 infostealer 惡意軟體在野外被記錄,且新加坡網路安全局發布正式通告敦促組織謹慎看待生產部署。

對評估自託管 AI 代理的 IT 與安全主管,本週清楚框定了核心張力:平台快速成熟,但安全治理模型尚未跟上。以下是完整的執行摘要。

時間有限? 重點摘要:(1) Skill Workshop 為 OpenClaw 帶來受治理的技能建立——對企業擴充性是重大進展,(2)「Claw Chain」漏洞揭露暴露了平台野心與現有安全態勢間的缺口,(3) 首個野外針對 OpenClaw 組態的 infostealer 對任何將密鑰儲存於磁碟的人是警鐘,(4) Microsoft 的 ClawPilot 現有 3,000+ 內部使用者,訊號嚴肅的企業興趣。若您正規劃部署,請跳至後續觀察重點預約諮詢通話

Skill Workshop:開放技能模型的治理

本週落地的最大功能是 Skill Workshop——一套結構化、代理引導的技能建立與審查流程,取代先前建構與分發技能的臨時方式。

v2026.6.1-beta.1(98+ commit 的預發布版本)中,代理現在透過受治理管線提案技能,含版本化 frontmatter、核准/拒絕/隔離動作、回滾保護,以及完整的 Control UI 儀表板,具備提案清單、今日檢視、修訂對話與檔案預覽。技能 workshop 工具(skill_workshop)與 Codex app-server 提示整合,讓代理知道何時使用它,且集中式核心技能索引處理載入、狀態、篩選與提示格式化。

對企業團隊的意義。 開放技能模型一直是 OpenClaw 最大的優勢與最大的風險。Skill Workshop 處理該等式的「審查」面——在代理或使用者安裝第三方技能前給營運者結構化審查流程。但它並未解決執行階段隔離或信任評分問題。NVIDIA 的 Skill Cards(安裝時的靜態與語意技能分析)在同一發布週期出現,暗示分層安全方式。對生產部署,Skill Workshop 必要但不充分——組織仍應在其上疊加身分、沙箱與稽核控制。如需平台走向的更廣視野,請見我們的 State of OpenClaw 2026 分析

延伸閱讀:Skill Workshop 文件

「Claw Chain」——四個可鏈結漏洞

Cyera 研究人員披露四個可鏈結漏洞,合起來代表迄今記錄到最危險的 OpenClaw 攻擊鏈。四者皆已在 v2026.4.22+ 修補,但暴露面驚人:Shodan 識別約 65,000 個公開可存取 OpenClaw 實例;ZoomEye 識別約 180,000 個

鏈結運作方式:在 OpenShell 內單一立足點(透過提示注入、惡意外掛或受損輸入)即可同時利用三個沙箱層漏洞——透過檔案系統讀取逃脫的資料外洩(CVE-2026-44113,CVSS 7.7)、透過 MCP loopback 標頭繞過的權限提升(CVE-2026-44118,CVSS 7.8),以及透過 TOCTOU 檔案系統寫入逃脫的持久性(CVE-2026-44112,CVSS 9.6 Critical)。另一個獨立的執行允許清單環境變數揭露(CVE-2026-44115,CVSS 8.8)可透過未加引號的 heredoc 洩漏 API 金鑰。

重要性。 這不是理論攻擊。此鏈不需任意程式碼執行——透過每個 OpenClaw 代理預設使用的檔案操作與 MCP 協定即可運作。任何執行未修補實例且具公開端點的組織應將此視為立即修補警示。

來源:Cyera ResearchTNWCloud Security Alliance

首個經確認針對 OpenClaw 密鑰的 infostealer

Hudson Rock 記錄了首個野外特別針對 OpenClaw 組態檔的 infostealer 感染。一個 Vidar infostealer 變體(感染日期:2026 年 2 月 13 日)外洩:

  • openclaw.json——Gateway 驗證權杖、電子郵件、工作區路徑
  • device.json——用於裝置配對與簽署的公私鑰,可用於訊息冒充
  • soul.mdmemory/*.md——代理行為定義、每日活動日誌、私人訊息與行事曆事件

Hudson Rock 結論,竊取資料足以造成受害者數位身分的完全淪陷。該惡意軟體並非特別針對 OpenClaw——它掃描包含「token」與「private key」關鍵字的檔案——但對 OpenClaw 使用者的影響嚴重。

重要性。 這是 OpenClaw 社群無法再將密鑰儲存視為「磁碟上夠好了」的時刻。驅動代理身分與記憶體的相同檔案現成為主動目標。組織應將 OpenClaw 密鑰移至保險庫支援儲存(Azure Key Vault、HashiCorp Vault 或 Windows Credential Manager),並將 device.json 視為等同 SSH 私鑰——未加密絕不放於磁碟。

來源:BleepingComputerHudson Rock

新加坡 CSA 通告——對生產風險的正式警告

新加坡網路安全局(CSA)發布通告 AD-2026-005,正式記錄系統性 OpenClaw 風險:未修補漏洞、弱存取控制、敏感資料暴露、惡意第三方技能與記憶體投毒。通告建議組織採用零信任原則,並避免以開源形式將 OpenClaw 部署於任務關鍵或高度敏感環境

此通告加入 2026 年全年來自中國、南韓與比利時發布的政府警告與限制。模式一致:監管者密切關注自主代理框架,而 OpenClaw 的開放技能模型受到特別審查。

重要性。 政府通告不是禁令——但會轉變合規對話。受新加坡監管周界涵蓋或在具類似指引司法管轄區營運的組織,需展示其 OpenClaw 部署包含超出開源專案隨附的分層安全控制。這正是強化企業部署旨在填補的精確缺口。

來源:CSA 通告 AD-2026-005

Microsoft ClawPilot 達 3,000+ 內部使用者

Microsoft 內部基於 OpenClaw 的桌面助理 ClawPilot(屬「Project Lobster」)從約 100 名內部測試者在 5 月初擴展至 3,000+ 使用者。由企業副總裁 Omar Shahine 主導,ClawPilot 提供常駐代理團隊,監控使用者訊號、分診收件匣並追蹤行動項目。基於 OpenClaw 建構的 Teams 外掛已內部可用,Microsoft 正為 Microsoft 365 Copilot 實驗更安全、企業級的 OpenClaw 風格能力,預計於 Build 前後推出。

重要性。 Microsoft 自身的內部採用對以 Microsoft 為重的環境驗證了架構——正是 Big Hat Group 專精的環境。ClawPilot 從 100 到 3,000 使用者約一週的快速擴展訊號 Microsoft 在 OpenClaw 代理模型中看到真實生產力價值。對 Microsoft 365 上的企業,這降低了「是否企業就緒?」的風險:若 Microsoft 信任 OpenClaw 給自家員工,問題變成「我們如何強化它?」而非「我們該不該用?」請閱讀我們為以 Microsoft 為重的 IT 團隊撰寫的完整 ClawPilot 深度分析

來源:GeekWireCloud Wars

ASRock Claw Quickset——一鍵 Windows 安裝程式

ASRock 宣布 Claw Quickset,一個一鍵 Windows 應用程式,自動化在 ASRock Claw 掌機與其他 Windows PC 上安裝 OpenClaw。它提供 GUI 精靈用於本地 vs 雲端模型設定、執行階段管理與工作區組態——無需手動終端機指令。

重要性。 這是 OpenClaw 在 Windows 上的首個消費者友善安裝程式。雖然 ASRock 目標市場為掌上遊戲 PC 使用者,相同安裝模式可直接套用至 Windows 365 雲端電腦Azure Virtual Desktop——IT 需在不要求使用者導覽 CLI 設定的情況下部署 OpenClaw 的環境。預期企業部署工具跟隨此模式。

來源:ASRock

上游強化與其他發布

Skill Workshop 之外,發布列車交付了有意義的安全強化:

  • Windows ComSec 劫持修復#77472)——行程包裝器現透過共享解析器路由,並拒絕 UNC 路徑與分號分隔路徑清單。
  • 外掛診斷信任#77516)——只有捆裝或 @openclaw/diagnostics-* 套件接收內部診斷能力。
  • fs-safe 程式庫——新的檔案系統強化程式庫,用於安全路徑解析與符號連結攻擊防護(GitHub)。
  • Gateway 組態閉門失敗——v2026.6.1-beta.1 中的重大變更意味無效組態會完全停止 Gateway,而非自動還原上次已知良好狀態。透過 openclaw doctor --fix 修復。
  • v2026.5.3-1 的效能 DoS#77519)——營運者應完全避免此版本,因 1500 倍 sessions.list 回歸。

穩定版本 v2026.5.28 發布,含 Claude Opus 4.8 支援、原生 iPad 版面的 iOS Pro UI、用於 Copilot 與 Codex 執行階段的 Supervisor 外掛,以及加密 PDF 渲染。

EnterpriseClaw 與治理生態系

CIO.com 報導了 EnterpriseClaw,一個商業治理層,能在防火牆後進行代理管理,含政策強制執行、稽核軌跡與合規控制。另外,AxonFlow 推出針對 OpenClaw 工具呼叫與對外訊息的結構化政策強制執行——代理工作流程的治理即程式碼。

這些第三方治理產品與 OpenClaw Foundationopenclaw.org)並存形成,基金會定位為確保 OpenClaw 保持「獨立、社群驅動、永遠開放」。基金會參與者包括 MicrosoftGitHubAtlassianConvex,以及透過 GitHub Secure Open Source Fund 參與的 OpenAI

重要性。 治理生態系與核心專案並行形成——填補上游專案無法優先處理的安全與合規缺口的商業層。對企業買家,這是健康訊號:「強化 OpenClaw」的對話正從「是否該有人建構這個?」演進到「哪家供應商的治理層適合我們的堆疊?」

來源:CIO.comAxonFlow

後續觀察重點

  • Skill Workshop 進入穩定版。 受治理技能建立流程本週進入 beta。穩定版時程將決定它是否實質改善 CSA 標記的技能信任模型。
  • Microsoft Build 2026。 M365 Copilot 的代理能力——預計於 Build 前後推出——可能驗證 OpenClaw 架構或直接競爭。ClawPilot 的 3,000 人內部測試是強烈的領先指標。
  • Claw Chain 修補採用。 在 65,000 至 180,000 個暴露實例與公開記錄的完整攻擊鏈下,修補速度將是 OpenClaw 更新生態系的重大考驗。
  • Infostealer 反制措施。 Vidar 案例可能只是眾多之首。預期憑證保險庫化、磁碟加密組態,以及可能執行階段密鑰掃描成為必備功能。
  • Gateway 組態閉門失敗。 v2026.6.1-beta.1 中的重大變更會捕捉依賴自動復原的營運者。套用更新前先熟悉您的 doctor --fix

下週請回來查看另一輪 OpenClaw 生態系發展摘要。若您的組織正評估 OpenClaw 用於生產——在 Windows 365、Azure 或 Microsoft 生態系任何環節——請聯繫我們。Big Hat Group 交付強化的 OpenClaw 部署,含 Entra ID 身分、簽署技能、Intune 合規與 Azure 原生架構。