OpenClaw 生態系本週交付了最被期待的功能——v2026.6.1-beta.1 中受治理的技能建立流程 Skill Workshop——但安全故事主導了對話。研究人員披露可將供應鏈立足點鏈結為完全代理淪陷的四漏洞「Claw Chain」、首個經確認針對 OpenClaw 密鑰的 infostealer 惡意軟體在野外被記錄,且新加坡網路安全局發布正式通告敦促組織謹慎看待生產部署。
對評估自託管 AI 代理的 IT 與安全主管,本週清楚框定了核心張力:平台快速成熟,但安全治理模型尚未跟上。以下是完整的執行摘要。
時間有限? 重點摘要:(1) Skill Workshop 為 OpenClaw 帶來受治理的技能建立——對企業擴充性是重大進展,(2)「Claw Chain」漏洞揭露暴露了平台野心與現有安全態勢間的缺口,(3) 首個野外針對 OpenClaw 組態的 infostealer 對任何將密鑰儲存於磁碟的人是警鐘,(4) Microsoft 的 ClawPilot 現有 3,000+ 內部使用者,訊號嚴肅的企業興趣。若您正規劃部署,請跳至後續觀察重點或預約諮詢通話。
Skill Workshop:開放技能模型的治理
本週落地的最大功能是 Skill Workshop——一套結構化、代理引導的技能建立與審查流程,取代先前建構與分發技能的臨時方式。
在 v2026.6.1-beta.1(98+ commit 的預發布版本)中,代理現在透過受治理管線提案技能,含版本化 frontmatter、核准/拒絕/隔離動作、回滾保護,以及完整的 Control UI 儀表板,具備提案清單、今日檢視、修訂對話與檔案預覽。技能 workshop 工具(skill_workshop)與 Codex app-server 提示整合,讓代理知道何時使用它,且集中式核心技能索引處理載入、狀態、篩選與提示格式化。
對企業團隊的意義。 開放技能模型一直是 OpenClaw 最大的優勢與最大的風險。Skill Workshop 處理該等式的「審查」面——在代理或使用者安裝第三方技能前給營運者結構化審查流程。但它並未解決執行階段隔離或信任評分問題。NVIDIA 的 Skill Cards(安裝時的靜態與語意技能分析)在同一發布週期出現,暗示分層安全方式。對生產部署,Skill Workshop 必要但不充分——組織仍應在其上疊加身分、沙箱與稽核控制。如需平台走向的更廣視野,請見我們的 State of OpenClaw 2026 分析。
延伸閱讀:Skill Workshop 文件
「Claw Chain」——四個可鏈結漏洞
Cyera 研究人員披露四個可鏈結漏洞,合起來代表迄今記錄到最危險的 OpenClaw 攻擊鏈。四者皆已在 v2026.4.22+ 修補,但暴露面驚人:Shodan 識別約 65,000 個公開可存取 OpenClaw 實例;ZoomEye 識別約 180,000 個。
鏈結運作方式:在 OpenShell 內單一立足點(透過提示注入、惡意外掛或受損輸入)即可同時利用三個沙箱層漏洞——透過檔案系統讀取逃脫的資料外洩(CVE-2026-44113,CVSS 7.7)、透過 MCP loopback 標頭繞過的權限提升(CVE-2026-44118,CVSS 7.8),以及透過 TOCTOU 檔案系統寫入逃脫的持久性(CVE-2026-44112,CVSS 9.6 Critical)。另一個獨立的執行允許清單環境變數揭露(CVE-2026-44115,CVSS 8.8)可透過未加引號的 heredoc 洩漏 API 金鑰。
重要性。 這不是理論攻擊。此鏈不需任意程式碼執行——透過每個 OpenClaw 代理預設使用的檔案操作與 MCP 協定即可運作。任何執行未修補實例且具公開端點的組織應將此視為立即修補警示。
來源:Cyera Research、TNW、Cloud Security Alliance
首個經確認針對 OpenClaw 密鑰的 infostealer
Hudson Rock 記錄了首個野外特別針對 OpenClaw 組態檔的 infostealer 感染。一個 Vidar infostealer 變體(感染日期:2026 年 2 月 13 日)外洩:
openclaw.json——Gateway 驗證權杖、電子郵件、工作區路徑device.json——用於裝置配對與簽署的公私鑰,可用於訊息冒充soul.md與memory/*.md——代理行為定義、每日活動日誌、私人訊息與行事曆事件
Hudson Rock 結論,竊取資料足以造成受害者數位身分的完全淪陷。該惡意軟體並非特別針對 OpenClaw——它掃描包含「token」與「private key」關鍵字的檔案——但對 OpenClaw 使用者的影響嚴重。
重要性。 這是 OpenClaw 社群無法再將密鑰儲存視為「磁碟上夠好了」的時刻。驅動代理身分與記憶體的相同檔案現成為主動目標。組織應將 OpenClaw 密鑰移至保險庫支援儲存(Azure Key Vault、HashiCorp Vault 或 Windows Credential Manager),並將 device.json 視為等同 SSH 私鑰——未加密絕不放於磁碟。
來源:BleepingComputer、Hudson Rock
新加坡 CSA 通告——對生產風險的正式警告
新加坡網路安全局(CSA)發布通告 AD-2026-005,正式記錄系統性 OpenClaw 風險:未修補漏洞、弱存取控制、敏感資料暴露、惡意第三方技能與記憶體投毒。通告建議組織採用零信任原則,並避免以開源形式將 OpenClaw 部署於任務關鍵或高度敏感環境。
此通告加入 2026 年全年來自中國、南韓與比利時發布的政府警告與限制。模式一致:監管者密切關注自主代理框架,而 OpenClaw 的開放技能模型受到特別審查。
重要性。 政府通告不是禁令——但會轉變合規對話。受新加坡監管周界涵蓋或在具類似指引司法管轄區營運的組織,需展示其 OpenClaw 部署包含超出開源專案隨附的分層安全控制。這正是強化企業部署旨在填補的精確缺口。
Microsoft ClawPilot 達 3,000+ 內部使用者
Microsoft 內部基於 OpenClaw 的桌面助理 ClawPilot(屬「Project Lobster」)從約 100 名內部測試者在 5 月初擴展至 3,000+ 使用者。由企業副總裁 Omar Shahine 主導,ClawPilot 提供常駐代理團隊,監控使用者訊號、分診收件匣並追蹤行動項目。基於 OpenClaw 建構的 Teams 外掛已內部可用,Microsoft 正為 Microsoft 365 Copilot 實驗更安全、企業級的 OpenClaw 風格能力,預計於 Build 前後推出。
重要性。 Microsoft 自身的內部採用對以 Microsoft 為重的環境驗證了架構——正是 Big Hat Group 專精的環境。ClawPilot 從 100 到 3,000 使用者約一週的快速擴展訊號 Microsoft 在 OpenClaw 代理模型中看到真實生產力價值。對 Microsoft 365 上的企業,這降低了「是否企業就緒?」的風險:若 Microsoft 信任 OpenClaw 給自家員工,問題變成「我們如何強化它?」而非「我們該不該用?」請閱讀我們為以 Microsoft 為重的 IT 團隊撰寫的完整 ClawPilot 深度分析。
ASRock Claw Quickset——一鍵 Windows 安裝程式
ASRock 宣布 Claw Quickset,一個一鍵 Windows 應用程式,自動化在 ASRock Claw 掌機與其他 Windows PC 上安裝 OpenClaw。它提供 GUI 精靈用於本地 vs 雲端模型設定、執行階段管理與工作區組態——無需手動終端機指令。
重要性。 這是 OpenClaw 在 Windows 上的首個消費者友善安裝程式。雖然 ASRock 目標市場為掌上遊戲 PC 使用者,相同安裝模式可直接套用至 Windows 365 雲端電腦與 Azure Virtual Desktop——IT 需在不要求使用者導覽 CLI 設定的情況下部署 OpenClaw 的環境。預期企業部署工具跟隨此模式。
來源:ASRock
上游強化與其他發布
Skill Workshop 之外,發布列車交付了有意義的安全強化:
- Windows ComSec 劫持修復(#77472)——行程包裝器現透過共享解析器路由,並拒絕 UNC 路徑與分號分隔路徑清單。
- 外掛診斷信任(#77516)——只有捆裝或
@openclaw/diagnostics-*套件接收內部診斷能力。 - fs-safe 程式庫——新的檔案系統強化程式庫,用於安全路徑解析與符號連結攻擊防護(GitHub)。
- Gateway 組態閉門失敗——v2026.6.1-beta.1 中的重大變更意味無效組態會完全停止 Gateway,而非自動還原上次已知良好狀態。透過
openclaw doctor --fix修復。 - v2026.5.3-1 的效能 DoS(#77519)——營運者應完全避免此版本,因 1500 倍
sessions.list回歸。
穩定版本 v2026.5.28 發布,含 Claude Opus 4.8 支援、原生 iPad 版面的 iOS Pro UI、用於 Copilot 與 Codex 執行階段的 Supervisor 外掛,以及加密 PDF 渲染。
EnterpriseClaw 與治理生態系
CIO.com 報導了 EnterpriseClaw,一個商業治理層,能在防火牆後進行代理管理,含政策強制執行、稽核軌跡與合規控制。另外,AxonFlow 推出針對 OpenClaw 工具呼叫與對外訊息的結構化政策強制執行——代理工作流程的治理即程式碼。
這些第三方治理產品與 OpenClaw Foundation(openclaw.org)並存形成,基金會定位為確保 OpenClaw 保持「獨立、社群驅動、永遠開放」。基金會參與者包括 Microsoft、GitHub、Atlassian、Convex,以及透過 GitHub Secure Open Source Fund 參與的 OpenAI。
重要性。 治理生態系與核心專案並行形成——填補上游專案無法優先處理的安全與合規缺口的商業層。對企業買家,這是健康訊號:「強化 OpenClaw」的對話正從「是否該有人建構這個?」演進到「哪家供應商的治理層適合我們的堆疊?」
後續觀察重點
- Skill Workshop 進入穩定版。 受治理技能建立流程本週進入 beta。穩定版時程將決定它是否實質改善 CSA 標記的技能信任模型。
- Microsoft Build 2026。 M365 Copilot 的代理能力——預計於 Build 前後推出——可能驗證 OpenClaw 架構或直接競爭。ClawPilot 的 3,000 人內部測試是強烈的領先指標。
- Claw Chain 修補採用。 在 65,000 至 180,000 個暴露實例與公開記錄的完整攻擊鏈下,修補速度將是 OpenClaw 更新生態系的重大考驗。
- Infostealer 反制措施。 Vidar 案例可能只是眾多之首。預期憑證保險庫化、磁碟加密組態,以及可能執行階段密鑰掃描成為必備功能。
- Gateway 組態閉門失敗。 v2026.6.1-beta.1 中的重大變更會捕捉依賴自動復原的營運者。套用更新前先熟悉您的
doctor --fix。
下週請回來查看另一輪 OpenClaw 生態系發展摘要。若您的組織正評估 OpenClaw 用於生產——在 Windows 365、Azure 或 Microsoft 生態系任何環節——請聯繫我們。Big Hat Group 交付強化的 OpenClaw 部署,含 Entra ID 身分、簽署技能、Intune 合規與 Azure 原生架構。