世界上有一种扫描器叫SkillSpector，它能看穿技能的伪装。48.71%的技能被它标记有风险，而VirusTotal只抓到7.75%。
三大扫描器（VirusTotal+静态分析+SkillSpector）的重合率居然只有0.69%——每个扫描器看的角度完全不同。SkillSpector擅长抓隐藏指令和过度权限，VirusTotal擅长抓传统恶意软件，静态分析擅长抓危险代码模式。
更关键的是：整个数据集已经在HuggingFace上开源了，安全研究社区可以免费使用。A rising tide lifts all claws. 🦞

你教Agent做一件事，它就该记住。但如果它记错了呢？
Skill Workshop加了一个审批环节：Agent生成的技能先变成PROPOSAL.md（提案），不是直接写入SKILL.md。你可以在Board视图里搜索、检查、预览支持文件，然后决定：用它、改它、还是跳过它。
最骚的是"改它"——不是推倒重来，而是让Agent在同一个提案上迭代修订，提案历史完整保留。从聊天、UI、CLI、Gateway都能走这个流程。
Agent带回来的是模式，你决定什么留下。

YOLO模式爽是爽，但企业不敢用。Auto模式来了：
策略先行 → 命中白名单直接跑 → 没命中的交给独立审查模型 → 审查模型没把握的再问人。
审查模型可以和主Agent用不同的模型——比如Agent跑本地模型，审查用GPT-5.5。审批还能路由到Slack、Telegram、iMessage，不用守在终端前。
OpenAI Codex的Guardian模式已经这么干了，OpenClaw现在把同样的模式带给了所有人。opt-in，不改默认。

2月到5月的性能大扫荡结果出来了：
冷启动从9.8秒→1.9秒（5.1倍），热启动从7.5秒→1.9秒（4倍）。npm包从43.3MB→17.9MB（-59%），安装依赖从645→300（-53%）。
方向很简单：核心保持小，可选能力挪到插件里，依赖归属明确化。2月到3月包在膨胀（82.9MB→182.6MB），5月开始往回收。
Growth, here, looks more like molting than adding. ——成长，更像蜕皮而不是堆叠。

OpenClaw的安全不是"加个沙箱"那么简单：
📦 fs-safe —— 文件系统边界库，防止路径穿越、符号链接逃逸。写入插件工作区OK，逃出去就拒绝。
🌐 Proxyline —— 进程级网络路由层，所有流量走代理策略。解决DNS TOCTOU问题（验证时指向公网，请求时指向元数据端点）。
🔍 插件信任 —— ClawHub上的插件携带信任证据，安装时消费信号，不只是装完再检查。
最底层的改变：SQLite运行时状态重构，把会话、转录、调度器状态从松散文件移到类型化数据库。

你的ChatGPT订阅现在可以驱动一个更原生的OpenClaw Agent了。
Codex app-server现在是OpenAI模型的默认运行时——Codex管模型循环（原生线程状态、工具续接、压缩、代码模式），OpenClaw管产品层（频道、人设、记忆、定时任务、浏览器、Gateway）。
最大的改变：动态工具加载。不再把所有工具schema塞进初始prompt，而是让Codex按需搜索工具。更少的翻译，更少的犹豫，更有用的行动。
回复也更干净了：Agent想说话就调message工具，内部推理不泄露，安静的轮次真的安静。

1月10日以来，GitHub上收到了1,309份安全公告——535份发布，746份关闭为无效。Critical级别的109份里，87%是无效的。
无效报告的画风："Agent能执行命令，所以是RCE"、"这个危险的opt-in模式很危险"、"如果我已经有了token我就能做坏事"。
但真正的bug确实存在：认证缺陷、权限混淆、重连作用域扩大、沙箱绕过。OpenClaw的应对是：核心缩小，功能推到插件层，更短的依赖树，更清晰的信任边界。
开源之所以不安全，是因为所有人都能看到代码。但也正因为如此，它才能快速变安全。

ClawHub现在支持的集成已经覆盖了开发者日常的几乎所有工具：
GitHub（PR审查/Issue管理）、VS Code（代码编辑/任务执行）、Notion（页面读写/数据库）、Slack（消息/频道）、Gmail（邮件读写）、Google Drive/Sheets/Calendar、Linear、Figma、Trello、WhatsApp...
发布技能也标准化了：clawhub skill publish ./my-skill --slug my-skill --version 1.0.0。创作者可以建立自己的品牌页面。

还记得ClawHub刚上线就被恶意技能攻击的事吗？有人试图发布捆绑已知恶意软件的技能。
VirusTotal的合作让这些恶意技能在发布时就被自动标记并封禁发布者。这是传统恶意软件扫描——相对成熟的问题。
真正的新挑战是Agent风险：一个技能声称在总结日志，但捆绑了把日志发到外部的脚本；一个善意的技能指向一个在错误flag下会清空生产环境的CLI。这些都不是传统病毒扫描器能抓的。

世界上有一种AI助手，它换了三个名字才找到自己。
Clawd → Moltbot → OpenClaw。每一次改名都是一次蜕变——从维也纳一个人的Mac上的实验，到世界上最受关注的开源AI Agent项目。
现在OpenClaw已经不是一个名字了，它是一个Foundation（基金会）、一个生态系统、一个社区。而这个名字，会留下来。
有些东西改着改着就对了，就像有些路走着走着就通了。