🤖 妙趣AI OpenClaw 玩法资讯

报告编号 #2568 · 2026年6月23日 02:05 CST · 聚合周期: 每2小时
36天
⏰ MCP 无状态化迁移截止 (2026-07-28) · Session-based 服务器需重构
19,831+
MCP 服务器
97M+
月度 SDK 下载
71K+
ClawHub Skills
375K+
GitHub Stars

🔥 今日头条

v2026.6.10-beta.1 发布:109个PR合并,全面升级

Beta 版本覆盖 pending subagent completions、非空聊天历史、媒体索引对齐、休眠 follow-up 排空、压缩模型别名、Codex 审批上下文、类型化 SDK helpers、富渠道投递、安全边界等。Stable 保持 2026.6.9。
新版本109 PRsbeta

MCP #2963:server.json / Server Card 标准化安装清单

讨论 Registry server.json、Server Card 与客户端安装行为的边界。核心问题:哪些字段是规范性的?如何处理命令、参数、环境变量、密钥、哈希和用户同意?创建于6月22日,0评论。
规范讨论🆕 今日创建0评论

MCP #2959:Goldshine协议 — 从工具投递到Agent投递

提出"Agent封装即服务"概念:Agent Service Unit (ASU) 作为服务端点,一次调用即得成品。包含语义本体层、接口合约标准、四层架构(接口→语义→信任→网络),是MCP的"下一步"提案。
🔥 热议协议提案Agent投递

💬 MCP 社区动态

MCP #2932:工具缺乏流式增量结果机制

当前 tool call 是严格请求-响应模式,长时间运行的工具看不到中间进度。提议添加 notifications/tool/progress 消息,支持进度百分比和中间结果块,完全向后兼容。
工具流式传输向后兼容

MCP 2026-07-28 规范:协议最大架构重置

协议全面无状态化:移除 initialize 握手和 Session ID,元数据通过 _meta 随请求传输。新增 Mcp-Method/Mcp-Name 头用于 API 网关路由。扩展框架支持反向DNS标识。新增 MCP Apps 和 Tasks 两个官方扩展。
🔥 重大变更7月28日截止无状态化

MCP #2879/#2878:RFC 8414 与 Step-up 授权讨论

OAuth 安全加固讨论:要求 iss 验证(RFC 9207)、step-up 授权模式。6月22日更新,社区持续活跃。
OAuth安全加固

📰 OpenClaw 官方博客

Skill Workshop:将Agent工作转化为可复用技能

审查、修订和应用提议的技能,引入治理化的技能审查流程,解决灵活性与治理之间的长期矛盾。6月3日发布。
新功能Skills治理

OpenClaw × NVIDIA:更强的Agent技能安全

每个 ClawHub 技能现在附带 Skill Card 文档,由 SkillSpector 扫描隐藏指令和代理风险。6月1日发布。
安全NVIDIASkillSpector

比YOLO更安全:Exec审批自动模式

为Enterprise级主机exec防护添加可选自动模式:策略优先运行,低风险遗漏进入审查,人类保持在环。5月31日发布。
安全企业级exec

更快、更小、更可信

2月至5月发布扫描显示:冷启动5.1x提速(9.8s→1.9s)、包体积-59%(43.3MB→17.9MB)、依赖-53%(645→300)。5月28日发布。
性能5.1x提速包体积-59%

OpenClaw安全路线图

让OpenClaw成为用户可理解、可观察、可信任的强大个人助手运行时。5月15日发布。
安全路线图

🛡️ 安全动态

CVE-2026-53822:Shell包装器argv TOCTOU漏洞 (CVSS 8.8)

影响2026.5.18之前版本。攻击者可在allowlist审批后重建命令参数绕过安全控制。已在2026.5.18+修复。⚠️ 立即更新到2026.6.6+!
⚠️ 紧急CVETOCTOU

Claw Chain:四个可链式漏洞 (CVE-2026-44112, CVSS 9.6)

Cyera Research 披露:单一供应链立足点可导致数据泄露、权限提升和持久化。包含CVSS 9.6 TOCTOU写逃逸和8.8环境变量泄露。已在2026.4.23修复。
⚠️ 高危供应链链式攻击

vCard/提示注入:WhatsApp联系人触发代码执行

Imperva Research 演示:共享联系人和位置PIN中隐藏指令可在WhatsApp上触发代码执行。已在2026.4.23通过将联系人名称路由到不可信元数据通道修复。
已修复提示注入WhatsApp

⚙️ 版本与技术更新

v2026.6.8 稳定版:渠道投递、模型路由、内存状态全面增强

Telegram富消息投递(表格/列表/可展开引用)、WhatsApp ACP绑定、GLM-5.2和Claude Haiku 4.5目录支持、SQLite WAL避NFS、OpenAI嵌入批次自动拆分、Parallel Free/DuckDuckGo搜索显式opt-in。
稳定版140+ PRsGLM-5.2

长上下文缓存优化:PR #95624 保持工具结果字节稳定

保持累积工具结果提示字节稳定,让大上下文Agent能保留provider prompt cache,而不是每轮重写巨大历史。这是runtime经济学的一部分。
缓存成本优化性能

Mattermost /oc_queue 原生支持

PR #95546:从Mattermost客户端原生控制队列模式、防抖、上限和丢弃行为。渠道UX持续变得更健壮。
Mattermost渠道队列

📚 社区教程与生态

OpenClaw Skills指南:2026年你的Agent能做什么

完整指南:Web搜索、浏览器自动化、代码执行、消息、连接器等能力全景。来自 blink.new。
教程Skills

OpenClaw Skills目录:5,798+社区技能

浏览5,798+社区构建的技能,按类别搜索:AI代理、自动化、通信、创意、加密等。秒级安装。来自 openclawai.io。
🔥 竞品5,798 Skills

openclaw-mcp-plugin:连接任意MCP服务器

让OpenClaw连接任意MCP服务器并暴露其工具给AI代理。实现MCP Streamable HTTP传输规范,提供统一接口调用外部MCP工具。
开源MCP插件

OpenClaw Skills与Sub-Agents生产实战

如何使用Skills和Sub-Agents构建自主AI工作流 — 生产环境中的真实模式,包含精确设置步骤。
教程Sub-Agents生产实战

🔥 Hacker News 热点

Claude Code "Extended Thinking" 输出文本并非真实思考

HN 197分 · 137评论 · 揭示Claude Code扩展思考输出中的文本并非真正的思维过程,引发AI透明度讨论。
🔥 HN热帖AI透明度197分

Codex日志Bug可能写入TB级数据到本地SSD

HN 354分 · 194评论 · OpenAI Codex的日志bug可能导致TB级数据写入,影响开发环境存储。
🔥 HN热帖Codex存储风险

提示注入即角色混淆

HN 44分 · 16评论 · 从角色混淆角度重新理解提示注入攻击,为AI安全研究提供新视角。
安全研究提示注入

GLM 5.2 vs. Opus:模型对决

HN 384分 · 268评论 · 智谱GLM 5.2与Claude Opus的全面对比,引发社区激烈讨论。
🔥 HN热帖GLM-5.2模型对比

⚡ 运营待办事项