Skill Workshop为技能创建加入关键审查步骤。当Agent创建或修改技能时,先生成PROPOSAL.md提案而非直接写入SKILL.md——这意味着"技能不是普通文件编辑,写错一个答案可以忽略,写错一个技能会改变未来所有行为"。Board视图管理所有提案状态(pending/applied/rejected/stale),Today视图逐个审查。Tweak是最核心功能:生成的工作往往"差一点"——措辞不对、缺个步骤、需要更安全的回退——Skill Workshop把这些修复变成修订对话而非死胡同。提案支持附件文件(assets/examples/references/scripts/templates),路径规则严格限制:无绝对路径、无遍历、无隐藏路径段。同一提案流在Chat、Control UI、Channel、CLI、Gateway均可操作。
ClawHub每个技能发布前经过三重独立扫描:静态分析+VirusTotal+NVIDIA SkillSpector。关键发现:三大扫描器几乎不重叠——Jaccard系数最高仅0.104,468个技能(0.69%)被三者同时标记。81.9%的阳性发现来自单一扫描器。SkillSpector在可疑裁决中阳性率75.3%,VirusTotal在恶意裁决中阳性率72.8%——各有专攻。Skill Cards作为NVIDIA开放信任制品规范,记录发布者、能力、扫描结果和来源,已随每个技能发布。67K+技能扫描数据集已开源HuggingFace。
MCP 2026-07-28 RC是协议发布以来最大修订:无状态核心、移除initialize握手、消灭Mcp-Session-Id头、新增Tasks和Apps扩展、OAuth/OIDC对齐授权加固、正式12个月弃用政策。弃用Roots、Sampling、Logging。所有假设会话的MCP服务器需要迁移。最终规范7月28日发布。
当前最新稳定版。Telegram支持结构化文本、WhatsApp支持ACP绑定、持久化频道回复改进。包体积减少59%(43.3MB→17.9MB),依赖-53%(645→300)。fs-safe安全文件系统库上线。Provider外部化(Bedrock/Slack/Anthropic Vertex按需加载)。Node.js最低版本v22.19+。
Telegram支持HTML富文本、保留Markdown和贴纸路径、进度草稿和命令输出更忠实渲染。Agent恢复机制大幅增强:重试、终端结果、压缩后使用量、会话历史修复、回复协调,让中断或部分turn更可靠地到达可见最终结果。运营建议:生产环境继续用v2026.6.8,beta版测试Telegram预览、auto-reply回退通知、cron投递目标等。
Auto模式:policy优先运行,低风险miss由审查模型处理,不确定的仍路由到人类。审查模型独立于主Agent模型——本地模型做普通工作,前沿模型(如gpt-5.5)做exec审查。对标OpenAI Codex的Guardian模式。tools.exec.mode: "auto" opt-in启用。命令匹配allowlist→直接运行;miss policy→构建审查包(command/argv/cwd/env key names/host/parser analysis)→审查员可允许一次低风险执行→仍不确定则fallback人类。
冷启动5.1x提速(9.8s→1.9s),热启动4.0x提速。包体积-59%(43.3MB→17.9MB)。依赖-53%(645→300)。内存峰值-15%(686MB→581MB)。嵌套依赖树从656.1MiB削减至259.7MiB。Bedrock/Slack/Matrix/WhatsApp等Provider外部化。"增长,在这里更像是蜕皮,而不是膨胀。"
fs-safe库防止路径遍历和边界穿越。Proxyline是Node进程级网络路由层,将流量导向配置的代理——代理负责策略执行(阻止元数据地址、私有范围、环回金丝雀)。SQLite运行时状态重构中——会话、转录、调度器状态、插件持久化统一为数据库。ClawHub信任证据附加到特定包版本,本地安装流程消费这些信号。
openai/gpt-* Agent turns默认通过Codex app-server路径运行。OpenClaw保留渠道/人设/记忆/会话/cron/媒体/浏览器/网关。Codex负责底层循环:原生线程状态、工具继续、压缩、代码模式、动态工具搜索。经验回流默认harness。
2026.4.24→4.29:网关变慢、插件依赖修复循环、频道异常。根因:插件依赖修复在启动/更新路径运行、内外插件半拆分、ClawHub元数据未稳定、网关冷路径做太多。后续:core更小、可选移到ClawHub、LTS单独宣布。
ClawHub技能现在由VirusTotal威胁情报平台扫描——将行业领先的安全能力带入AI Agent生态系统。这是三重扫描体系的第一块拼图。