六個月前,OpenClaw 還只是一個週末專案。如今它已成為一個 501(c)(3) 非營利組織,擁有全職工程團隊、382,000 個 GitHub 星標,以及每週 450 萬次安裝量。2026 年 7 月 7 日至 13 日這一週帶來了四項工程領導者不可忽視的重大發展:OpenClaw 基金會的正式成立、一個毀滅性的 WhatsApp 到主機攻擊鏈、NVIDIA 的 NemoClaw 生產環境啟動,以及 MCP 無狀態規範的最終倒數。

工程主管摘要: (1) 立即將所有 OpenClaw 實例升級至 2026.6.6+;(2) 稽核暴露於網際網路的閘道器 — 共有 42,900 個實例可被公開存取;(3) 開始 MCP 伺服器遷移規劃 — 無狀態規範將於 7 月 28 日發布;(4) 評估 NemoClaw 用於生產環境 Agent 治理;(5) 在促進額度於 9 月 1 日到期前審查 Copilot AI Credit 預算。

OpenClaw 基金會:從專案到機構

7 月 8 日,OpenClaw 正式註冊為 OpenClaw 基金會 — 一個 501(c)(3) 非營利組織。基金會由建立者 Peter Steinberger 與 Dave Morin 共同創立,定位為「AI 瑞士」— 各廠商在 Agent 標準上協作的中立平台。初始團隊包括首席架構師 Vincent Koc 以及全職工程與營運人員。基金會正在積極招募人才。

合作夥伴網絡展現了廣泛的業界共識:OpenAI(主要捐贈者,提供推論與 Claw Labs)、NVIDIA(NemoClaw 安全)、Microsoft(Scout Agent 與上游政策一致性)、Tencent(全職維護者)、密西根大學(最大捐贈者)、GitHub、Cloudflare、Vercel 與 Atlassian。

對 CTO 而言,這消除了 OpenClaw 採用上最大的風險:單一維護者的巴士因子。有了全職人員、機構治理與多廠商支持,OpenClaw 從社群專案轉型為受治理的平台。

WhatsApp 攻擊鏈:三個不容忽視的 CVE

安全研究員 Chinmohan Nayak 披露了三個高嚴重性漏洞,組成一條完整的未認證 RCE(遠端程式碼執行)攻擊鏈 — 僅需一則 WhatsApp 訊息即可觸發。這三個漏洞編號為 GHSA-hjr6-g723-hmfm(CVSS 8.8)、GHSA-9969-8g9h-rxwm(CVSS 8.8)與 GHSA-575v-8hfq-m3mc(CVSS 8.4),影響 OpenClaw 至 2026.6.1 版本,已在 2026.6.6 版本中修復。

此攻擊鏈利用三個缺口:sanitizeEnvVars() 忽略了十二個直譯器啟動變數(如 NODE_OPTIONSBASH_ENV),允許程式碼預載;Git 的 ext:: 傳輸助手可透過 git clone 執行任意指令;Docker 沙盒的父目錄檢查只看單一方向 — 掛載 /home 會暴露所有使用者的 SSH 金鑰與 AWS 憑證,掛載 /var 則暴露 Docker socket,實現完整的主機逃逸。

Nayak 以一封偽裝成除錯請求的 WhatsApp 訊息演示了此攻擊。Claude Sonnet 4 毫不猶豫地配合執行。明顯的攻擊載荷有 40% 的機率被拒絕,但相同的載荷若包裹在合理的開發者情境中,在每次全新工作階段中都能成功。模型無法區分合法請求與攻擊者的相同措辭。

與此同時,SecurityScorecard 的 STRIKE 團隊在 82 個國家發現了 42,900 個暴露的 OpenClaw 控制面板 — 其中 15,200 個被標記為具有 RCE 風險。Hunt.io 另外發現 17,500 個實例受到 CVE-2026-25253 影響,允許未認證的 API Token 提取。

行動方案: 升級至 2026.6.6+、將閘道器綁定至 loopback、從面向頻道的工具允許清單中移除 exec、為非主工作階段啟用沙盒模式、限制 DM 配對,若實例曾公開暴露則輪替所有憑證。

NVIDIA NemoClaw:企業 Agent 的結構性安全

NVIDIA 於 7 月 8 日啟動 NemoClaw — 一套將 OpenClaw Agent 包裹在企業治理控制中的安全堆疊。核心元件是 OpenShell,一個行程外的執行階段,透過 YAML 政策強制執行網路出口、檔案系統存取與系統呼叫邊界。關鍵在於,OpenShell 在 Agent 的位址空間之外執行 — 被入侵的 Agent 無法覆寫自身的控制措施。政策支援熱重載,當 Agent 缺乏權限時,可提出政策更新請求供開發者審核。

NemoClaw 新增了隱私路由器,將敏感推論導向本地 Nemotron 模型,確保受監管資料不離開本機端點。生命週期管理提供版本化藍圖、強化預設值與稽核軌跡。安裝方式:curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash

NVIDIA 將 NemoClaw 標示為 alpha 階段 — 適用於受治理的試驗,不適合無監督的生產環境。但其架構方向是正確的:以結構性強制取代行為安全指令。對於因治理疑慮而對 OpenClaw 卻步的組織,NemoClaw 提供了一條通往受控部署的可靠路徑。

MCP 無狀態規範:倒數十五天

MCP 2026-07-28 規範將在十五天後發布 — 這是自推出以來最大幅度的修訂。協定層級的工作階段被完全移除:initialize/initialized 握手不再存在、Mcp-Session-Id 標頭不再存在,黏性路由(sticky routing)也不再需要。任何伺服器實例都可以處理任何請求,實現了簡單的輪詢負載平衡。

SEP-2575 將功能宣告移至每個請求的 _meta 欄位中,並新增 server/discover 方法。SEP-2567 移除了工作階段標頭。SEP-2243 引入 Mcp-MethodMcp-Name 標頭用於閘道路由。MCP 伺服器現在正式成為 OAuth 2.1 資源伺服器,支援 RFC 9728 中繼資料與 RFC 8707 Resource Indicators。MCP Apps(伺服器端渲染的 HTML UI)與 Tasks(長時間非同步工作流程)成為一等公民。

Beta SDK 已提供 Python v2、TypeScript v2、Go 與 C# 版本。7 月 28 日不會造成任何功能中斷 — 規範發布並非一個開關切換 — 但舊有功能的十二個月棄用倒數計時將開始。工程團隊應將未來十五天視為遷移窗口。

GitHub Copilot:9 月 1 日前的 AI FinOps

GitHub 基於使用量的 AI Credit 計費持續成熟。Copilot Billing Preview 應用程式將於 8 月 3 日退役,由原生儀表板取代,提供預算控制、透過使用量指標 API 進行的每使用者額度追蹤,以及基於成本中心的額度池管理(REST API,自 7 月 2 日起提供)。

關鍵日期是 2026 年 9 月 1 日。促進額度將大幅縮減:Business 方案從每位使用者每月 3,000 降至 1,900 個額度(縮減 37%),Enterprise 方案從 7,000 降至 3,900(縮減 44%)。基礎價格不變,但計量緩衝縮減了三分之一至近一半。

組織必須立即建立 AI 額度預算,在 7 月和 8 月期間透過促進額度掩蓋穩態使用量的情況下監控消費,並為 9 月的縮減做好準備。池化計費將支出在團隊間平均分攤 — 大量使用 Agent 的使用者將在額度池縮減時觸發超額費用或服務暫停。

展望未來

2026 年 7 月 7 日至 13 日這一週標誌著一個轉折點。OpenClaw 轉型為受治理的基金會、NVIDIA 的 NemoClaw 治理層、MCP 無狀態架構,以及 GitHub Copilot 日益成熟的計費經濟,在在顯示業界正從實驗階段邁向制度化。

對 CTO 與工程主管而言,未來九十天需要三項行動:強化 Agent 基礎設施安全、準備 MCP 無狀態過渡,以及在促進額度到期前實施 AI FinOps。工具已就緒,治理即將到來。問題在於您的組織是否準備好以與其他任務關鍵基礎設施相同的嚴謹度來部署 Agent。

在 X 上追蹤持續分析:https://x.com/kkaminski