夜雨聆风
OpenClaw 这次不是更新,是给 Agent 上锁
这两天我看 OpenClaw 2026.6.1-beta.2的 release,第一反应不是“又多了几个功能”。
而是:
OpenClaw 开始认真处理一个很少有人敢碰的问题:Agent 能不能改自己的大脑。
这句话听起来有点玄。
但落到工程里非常具体。
一个 coding agent 的能力,越来越不只是模型本身,而是一堆外部知识和行为规则:AGENTS.md、skills、plugins、MCP servers、hooks、workflow、memory、工具权限。
这些东西决定它会怎么想、怎么做、能调用什么、什么时候越权。
过去我们总说“给 Agent 加一个 skill”。
听起来像装一个插件。
但真正放到生产环境里,这事没那么轻。
Skill 不是文档。Skill 是 Agent 的行为补丁。
你让 Agent 自己写 skill,再让它自己把 skill 生效,本质上就是让一个能执行任务的系统,自己给自己打补丁。
这在 demo 里很爽。
在生产里很吓人。
OpenClaw 这次的 Skill Workshop,就是在把这件事从“随手写文件”改成“先提案、再审批、可扫描、可回滚”。
这不是花活。
这是 Agent 平台从玩具走向基础设施必须补的一道闸。
先说事实:这版是 beta,但信号很重
OpenClaw 2026.6.1-beta.2是 6 月 1 日发布、6 月 2 日创建记录的一版 prerelease。
官方 release 里最醒目的几条,不是“模型更强了”,而是这些:
✓ Skill Workshop 有了更完整的 Control UI 流程,包括 proposal 列表、today actions、revision handoff、可搜索文件预览、review states、locale coverage、reusable session routing。
✓ skill_workshopagent tool 可以通过 guarded review flow 对显式 proposal 做 apply、reject、quarantine。
✓ proposal 可以携带 approved support files,并带 scanner、hash、rollback safeguards。
✓ Workboard 加了 multi-agent planning 和 run tracking 的 orchestration primitives。
✓ Tokenjuice 和 GitHub Copilot runtime 被外置成官方插件 @openclaw/tokenjuice、@openclaw/copilot。
✓ session metadata、gateway runtime state、plugin metadata、memory watchers、store writes 等热路径减少重复工作。
✓ provider / plugin 请求补了更多 timer、retry、OAuth/device-code lifetime、media download、local probe、polling 上限,避免一个路径挂住整轮运行。
看起来很散。
但背后其实是一条线:
OpenClaw 在把“Agent 能力扩展”变成“Agent 能力治理”。
这和 4 月底我写 OpenClaw 4.26 时讲的“控制面变厚”是一条连续线。
但这次更具体。
4.26 还像是在补平台骨架。
6.1-beta.2 这次,是开始管 Agent 的“自我改造能力”。
这比普通功能更新危险,也更值钱。
我本地还不是新版本,这点反而能说明问题
我先跑了一下本地环境。
再看 skills 命令:
注意,这里没有 workshop子命令。
这不是命令写错。
是本机版本还停在 2026.4.5,而 Skill Workshop 是 2026.6.1-beta.2release / docs 里的新体系。
我把这个写出来,是为了避免一个常见误区:
看到文章里的新能力,立刻复制命令,发现本机没有,就以为文档错了。
不是。
OpenClaw 现在变化太快,版本差两个月,控制面已经不是同一代东西。
如果你还在旧版,能用 skills install / list / update,并不代表你已经有 proposal 审批、rollback metadata、support file scanning、Gateway methods 这些治理能力。
这也是这篇文章真正想说的:
AI Agent 平台的差距,已经不只是模型和 UI。
差距开始出现在这些看起来很 boring 的运行时能力里。
Skill Workshop 到底改了什么
官方 docs 里对 Skill Workshop 的定义很直接:
Skill Workshop is OpenClaw’s governed path for creating and updating workspace skills.
关键词是 governed path。
不是“skill generator”。
不是“更方便创建 skill”。
而是“受治理的路径”。
它的核心规则很硬:
Agents and operators do not write active SKILL.mdfiles directly through this path. They create a proposal first.
翻成人话:
Agent 和操作者不要直接改活跃的 SKILL.md。
先创建 proposal。
proposal 还不是 live skill。
它只是 pending draft。
里面包含 proposed skill content、target binding、scanner state、hashes、support-file metadata、rollback metadata。
只有 apply 之后,它才会变成真正生效的 skill。
这套流程看起来像多此一举。
但我非常喜欢。
因为它承认了一个现实:
Agent 写出来的能力,不能默认立刻变成 Agent 的能力。
这里面必须隔一层。
这层就是 proposal。
proposal 的价值不是“存一个草稿”。
它的价值是把一件危险的事情拆开:
✓ 生成能力
✓ 审查能力
✓ 修改能力
✓ 激活能力
✓ 回滚能力
以前这几件事可能挤在一个 write file里。
现在它们被拆成生命周期。
这就是基础设施的味道。
真正关键的是:active skill 不再是随手写
官方流程是这样的:
这张状态机不复杂。
但对 Agent 安全很重要。
因为它让 Skill 的变更有了“中间态”。
中间态意味着什么?
意味着你可以检查。
可以拒绝。
可以隔离。
可以修改。
可以发现目标文件已经变了,然后把 proposal 标成 stale。
target change -> stale这点尤其关键。
如果一个 proposal 是基于旧版 skill 生成的,而 live skill 在 apply 前被其他人改了,直接覆盖就会出事故。
传统软件工程里,这叫并发修改冲突。
Git 里你会 merge conflict。
数据库里你会乐观锁失败。
OpenClaw 在 Skill Workshop 里做的是类似思想:proposal bind 到当前 target hash,目标变了就 stale。
这句话看起来像废话。
但放到 Agent 场景里很要命。
因为 Agent 经常会在长任务里拿着旧上下文做决定。
它不知道另一个会话、另一个人、另一个 automation 已经改了同一个 skill。
如果没有 hash bound / stale 检测,最后就会出现一种很恶心的问题:
你以为 Agent 只是“帮我增强一下 morning routine”。
它实际把别人刚刚加的安全限制覆盖掉了。
这种 bug 不像 RCE 那么刺激。
但生产里非常真实。
支持文件也被纳入审计,这个细节很重要
很多人写 Skill,只看 SKILL.md。
但真正复杂的 skill 往往不止一个 markdown。
它可能带:
✓ examples
✓ references
✓ templates
✓ scripts
✓ assets
以前最容易出问题的就是这些旁路文件。
你审了主说明。
脚本里藏了东西。
你看了 markdown。
template 里有危险命令。
你批准了 skill。
support file 里搞了路径穿越。
Skill Workshop 这次把 support files 明确纳入 proposal:扫描、hash、存储,只有 apply 时才写到 live skill 旁边。
而且支持文件必须放在标准目录下:
拒绝的东西包括:absolute paths、hidden path segments、path traversal、overlapping paths、proposal 目录里的 executable files、non-UTF-8 text、null bytes、标准目录外文件。
这就是我说它不像普通功能更新的原因。
普通功能更新会说:现在 Skill 支持附带文件啦。
成熟一点的平台会继续问:
这些文件能不能乱放?
能不能覆盖别的路径?
能不能塞二进制?
能不能通过隐藏目录绕过审查?
能不能带可执行文件?
能不能回滚?
OpenClaw 这次答案是:要管。
这不是安全洁癖。
这是因为 Agent 时代的能力扩展,本身就是供应链。
为什么这比“再加一个 Agent”更重要
现在 AI 编程工具很喜欢宣传多 Agent。
几百个 subagents。
后台跑。
自动规划。
自动验证。
这当然重要。
Claude Code 的 dynamic workflows 就是这个方向,官方甚至说可以跑 tens to hundreds of parallel subagents。
但多 Agent 有一个隐藏前提:
你得先知道这些 Agent 的能力边界是谁定义的。
如果能力边界是某个临时写出来的 skill。
如果 skill 可以被 Agent 自己直接写进 live 目录。
如果插件可以半失败半加载。
如果 memory watcher 和 runtime state 乱扫一通。
如果 Gateway / CLI / chat 走的是三套不同逻辑。
那你不是在做多 Agent 编排。
你是在放一群临时工进机房,然后让他们自己改门禁规则。
这才是最恶心的地方。
很多 AI 工具现在都在追“能不能让 agent 干更多活”。
OpenClaw 这版更像是在问另一个问题:
当 Agent 开始干更多活,谁来规定它怎么获得新能力?
这个问题比“多开几个子任务”更基础。
因为能力扩展一旦失控,后面的计划、执行、验收都会被污染。
Workboard 是另一半:能力要被治理,任务也要被看见
Skill Workshop 管的是能力变更。
Workboard 管的是任务编排和可见性。
2026.6.1-beta.2里,Workboard 加了 orchestration primitives 和 agent coordination tools,用于 multi-agent planning 和 run tracking。
还把 task-backed board runs、task comments 接进 edit modal。
这也不是单纯 UI。
Agent 平台里最容易失控的不是单次回答。
而是长任务。
一个长任务可能经历:
✓ plan
✓ spawn subagent
✓ run tool
✓ wait for provider
✓ stream output
✓ compact context
✓ recover after interruption
✓ write artifact
✓ notify channel
✓ wait approval
✓ resume later
如果这些东西只能散落在聊天记录里,人类根本管不住。
Workboard 的价值是把 agent work 从“对话流”抽出来,变成可追踪的工作单元。
这和 Skill Workshop 是配套的。
一个管“能力怎么变”。
一个管“任务怎么跑”。
再加上 release 里那些看起来很碎的修复:session metadata、gateway runtime state、plugin metadata、SQLite-backed state、inbound queues、iMessage monitor state、first-output latency、stream deltas、local drafts。
它们共同解决的是一类问题:
Agent 不应该只在一次聊天里聪明,它应该在长时间运行里可恢复、可观察、可交接。
这才是生产系统。
插件外置也是一个信号:核心开始瘦身,生态开始分层
这版还有两个细节:
✓ Tokenjuice 被外置成官方 @openclaw/tokenjuice插件。
✓ GitHub Copilot agent runtime 被外置成官方 @openclaw/copilot插件。
这件事别只看成“拆包”。
拆包背后的信号是:OpenClaw 开始把核心 runtime 和能力插件分层。
早期平台最容易犯的错,是把所有能力都塞进核心。
一开始很爽。
用户装一个东西,什么都有。
但很快会变成灾难。
因为每个 provider、每个 runtime、每个 channel、每个 token 统计工具、每个媒体生成能力,都有自己的依赖、认证、更新节奏、失败模式。
全塞进 core,最后 core 变成垃圾场。
外置官方插件的好处是:
能力可以独立发布。
故障可以隔离。
依赖可以独立扫描。
加载失败可以给明确 repair path。
不同用户可以按需装。
这也是为什么 release 里同时出现了 SecretRef plugin manifests、plugin install index 持久化到 SQLite、plugin loader failure guidance、package-boundary prep timeout cleanup 等等。
这些词都不性感。
但它们决定插件生态能不能活。
一个 Agent 平台最怕的不是没有插件。
最怕的是插件越来越多,但每个插件都能把核心拖死。
这版还有一堆“防挂死”的修复
如果你只想看大功能,可能会跳过 release 里的 timer、retry、polling、probe、timeout。
但我建议别跳。
OpenClaw 这版反复出现一个动作:bound。
给 provider 请求加上限。
给 plugin 请求加上限。
给 OAuth/device-code lifetime 加上限。
给 media download 加上限。
给 generated-content polling 加上限。
给 local service probe 加上限。
给 readiness probe、status polling、response body、child workflow waits 加上限。
这不是细枝末节。
这是长任务 Agent 的命门。
传统 CLI 命令挂住,最多你 Ctrl-C。
Agent 平台挂住,可能拖住的是一个 session、一条 channel reply、一个 mobile delivery、一段 media generation、一个 cron job、一个 gateway queue。
如果没有 timeout boundary,Agent 会把“等待”误当成“工作”。
然后系统进入最烦人的状态:
不失败。
不成功。
不报错。
不退出。
卡着。
生产里最怕这种。
因为失败至少有信号。
卡住没有。
所以我判断 OpenClaw 这版的底层取向很明确:
少一点魔法,多一点边界。
这和 Skill Workshop 是同一种工程哲学。
能力要有边界。
任务要有边界。
插件要有边界。
网络请求要有边界。
状态存储要有边界。
没有边界的 Agent,能力越强,事故越大。
团队现在应该怎么理解这次更新
如果你只是个人玩 OpenClaw,这版可能不会让你立刻兴奋。
它不像一个按钮,点了就“哇”。
但如果你开始把 OpenClaw 放进稳定工作流,比如:
✓ 多个 agent 分工
✓ 多个 channel 收发
✓ skills 长期沉淀
✓ 插件接公司工具
✓ Cron / automation 定期跑
✓ Codex / Copilot / Tokenjuice 这类 runtime 混用
✓ 有人从手机、Telegram、Slack、Control UI 里触发任务
那这版就很关键。
因为它补的是“多入口、多能力、多状态”之后必然出现的问题。
我的建议很简单。
第一,别把 Skill 当普通文档。
Skill 会改变 Agent 行为。
能改变行为的东西,就要走 review。
第二,别允许 Agent 直接写 live skill。
能走 Skill Workshop,就走 proposal。
生成和生效中间必须有一层。
第三,support files 一定要审。
尤其是 scripts/、templates/、references/。
别只看 SKILL.md。
第四,插件不要无脑全装。
官方外置插件也应该按需启用,出问题要能禁用、能回滚、能定位。
第五,长任务要看 Workboard,不要只看聊天流。
聊天是交互界面,不是运维面板。
第六,升级前确认版本。
本机如果还是 2026.4.5,你看不到很多 6.1 的治理能力。
别拿旧版体验判断新版架构。
我的判断
OpenClaw 2026.6.1-beta.2不是那种适合拿来吹的版本。
它没有一个“震撼全网”的模型能力。
但它有一个更重要的信号:
OpenClaw 开始把 Agent 的能力变更,纳入正式治理链路。
这件事比很多炫技功能更关键。
因为 Agent 未来一定会越来越会写工具、写技能、写自动化、写自己的工作流。
如果平台不先规定这些能力怎么被提出、审查、生效、隔离、回滚,后面一定会乱。
真正成熟的 Agent 系统,不是让 Agent 想干什么就干什么。
而是让 Agent 每一次扩展自己,都留下可以审的痕迹。
这就是 Skill Workshop 的意义。
它不是让 OpenClaw 更“聪明”。
它是让 OpenClaw 更不容易失控。
我的判断是:
AI 编程工具的下一阶段,不是谁的 Agent 更猛,而是谁能管住 Agent 变猛的过程。
这句话可能没有“百 Agent 并发”听起来刺激。
但如果你真的要把 Agent 放进生产环境,这才是保命的东西。