夜雨聆风
OpenClaw 新出的 Skill Workshop,把 AI 自进化按死在审核流里了
2026-06-19 | 公众号「~虾米AI派~」| 阅读时长 9 分钟
开头
“我们的 AI 能自我进化。”
这句话过去一年被各家厂商说烂了。听着很性感,落地很骨感。
OpenAI 说能自我进化,Anthropic 说能自我进化,国产大模型说能自我进化——但你仔细看他们的工程实现,会发现一个尴尬的事实:
所谓”自进化”,大多是模型在生产环境里偷偷改自己的 skill,改完直接生效,没人审核。
更尴尬的是,这些厂商一边说”自进化”,一边在出问题时把锅甩给”用户配置不当”。
直到 6 月 3 日,OpenClaw 发了 v2026.6.1,把一件被所有人忽略的事情摆到了台面上:
Agent 自动生成的 skill,必须先变成”提案”,进 Skill Workshop 走完审批流程,才能上线。
这一改,把”AI 自我进化”这件事,从营销话术拉回了工程现实。
今天这篇,我就拆开讲讲:Skill Workshop 到底在防什么,以及为什么我说这是 6 月最被低估的更新。
一、失控的”技能”,为什么会成为 Agent 的隐患?
Agent 跑久了,会自己沉淀出一堆”经验”——这些经验被 OpenClaw 叫做 skill(技能)。
举个例子:
- • Agent 处理过 100 次飞书发消息的任务,慢慢会形成一套”最佳实践”流程
- • 这些流程被抽象成 skill,下次直接调用,不用重新摸索
- • 理想情况:Agent 越来越好用
- • 真实情况:这些 skill 没人审、没版本、没回滚
想象一下这个场景:
你的 Agent 在生产环境跑了 3 个月,某天突然因为某个 skill 里的逻辑判断有 bug,开始把所有飞书消息都转发给一个不存在的 webhook。然后你发现——这个 skill 是 Agent 自己两个月前生成的,你压根不知道它存在。
等到工单堆爆、老板追责,你再去翻日志,发现:
- • 这个 skill 是 5 月 12 日生成的
- • 触发条件是”飞书消息包含特定关键词”
- • Agent 当时生成它的理由是”为了节省 API 调用”
- • 5 月 12 日到 6 月 19 日,跑了 1.8 万次,每次都正常
唯一的一次异常,是今天。但没人能追溯”为什么是这个版本”——因为它没有版本号。
这不是耸人听闻。
4 月底 Hacker News 上 1336 赞的热帖讲的就是类似的事:Claude Code 扫描到仓库里的 HERMES.md(OpenClaw 的配置文件),直接拒接请求或加收费用。用户账单一夜涨了 50 倍。
OpenClaw 团队显然看到了这个问题。所以 v2026.6.1 里,有两个动作是配套的:
- • iMessage 监视器、入站队列、插件账本,从 JSON 文件迁到 SQLite(状态可恢复)
- • Skill Workshop 上线(skill 可审核)
前者解决”状态失控”,后者解决”技能失控”。
一句话总结:生产环境里,Agent 的最大隐患不是模型笨,是它悄悄学会了不该学的东西。
二、Skill Workshop 的 4 把锁
Skill Workshop 不是一个工具,是一套完整的审核流程。一共 4 个动作:
🔒 第 1 把锁:Proposal(提案)
以前的流程:
Agent 跑任务 → 自己写 skill → 直接进生产 → 出问题?现在的流程:
Agent 跑任务 → 自己写 skill → 进 proposal 列表 → 等审批Agent 生成的 skill 不再直接落地,而是先进入”待审”状态,写到 proposal 列表里。这个列表在 Control UI 里能直接看到。
每一个 proposal 都带:
- • 生成时间
- • 触发场景
- • 预期效果
- • 代码 diff
类比:公司报销要先提交申请,不能直接拿发票换钱。
🔒 第 2 把锁:Apply / Reject(批准/拒绝)
人在 Control UI 看到这个提案,可以点:
- • ✅ Apply:批准,skill 进入生产,纳入 skill 注册表
- • ❌ Reject:拒绝,skill 进废纸篓,但保留日志供后续分析
Apply 不是”一键放行”——它会触发一连串检查:
- 1. skill 文件结构是否完整
- 2. 是否依赖了禁用 SecretRef
- 3. 是否与现有 skill 冲突
- 4. 安全扫描是否通过
任何一个检查没过,Apply 按钮变灰。
类比:老板在 OA 系统里签字,但 OA 会先校验发票真伪。
🔒 第 3 把锁:Quarantine(隔离)
如果这个 skill 你不确定安不安全?
先扔进隔离区跑一跑。
隔离区是个独立的运行环境:
- • 不会影响生产数据
- • 所有调用都被记录
- • 行为日志独立存档
- • 跑满 N 次(或 N 天)后,自动生成”风险评估报告”
你看完报告,再决定放不放出来。
类比:新员工先实习三个月,HR 评估后再决定转正。
这一招的精髓在于:它不是禁止新 skill 上线,而是给新 skill 一个”试用期”。
🔒 第 4 把锁:Rollback(回滚)
这是最容易被忽略、但最救命的一把锁。
所有通过审批的 skill,都带版本化 frontmatter。
格式长这样:
---
name: feishu-send-message
version: 1.4.2
created_at: 2026-06-12T08:30:00Z
approved_by: wenchang
quarantine_runs: 12
risk_score: low
previous_version: 1.4.1
---出了任何问题,一键回滚到上一个版本。回滚动作本身也带日志——谁回滚的、为什么回滚、回滚前 skill 跑过多少次。
类比:Git 的 commit history。
但 Git 是程序员的事,Rollback 是产品/运营/老板都能做的事。这一点很重要——审核机制的边界,决定了 Agent 能不能在企业里真正落地。
Skill Workshop 不是给 AI 上锁,是给 AI 装了一个家长群。
家长群里,老师发了什么、家长回了什么、改了哪些作业,全部有据可查。
Agent 生成的 skill,在家长群里被记录、被审视、被批准或拒绝。
这不是效率的倒退,这是把 Agent 从”实验玩具”推向”生产工具”的必经之路。
三、”可控自进化”,才是真落地
看完这 4 把锁,你会发现一件事:
OpenClaw 团队对”自进化”的定义,和市面上流行的版本完全不同。
我把它整理成一张对比表:
| 维度 | 流行版本 | OpenClaw 版本 |
|---|---|---|
| 谁来改 | 模型自己 | 模型提议 |
| 谁来批 | 没人 | 人在 Control UI |
| 出问题 | 看运气 | 一键回滚 |
| 跑多久 | 越多越好 | 隔离观察 + 风险评估 |
| 本质 | 营销话术 | 工程思维 |
差别在哪?
前者把人类排除在外,后者把人类嵌进流程里。
为什么这件事重要?
因为”自进化”如果没审核,Agent 跑久了会出现两种失控:
失控 ①:能力漂移
skill 越积越多,但有些已经过时,Agent 还在调用。
比如:Agent 三个月前生成了一个”用旧版飞书 API 发消息”的 skill,飞书 API 早就升级到 v3 了,但 Agent 不知道。它还在用旧版 API,每次都失败,每次都重试,每次都消耗 token。
没有审核机制,这种”僵尸 skill”会越积越多。
失控 ②:行为污染
某个有缺陷的 skill 被反复使用,把坏习惯扩散到整个集群。
比如:Agent 生成了一个”为了节省 token,自动压缩用户消息”的 skill。短期内看起来很聪明,但压缩逻辑有 bug——它把用户的关键信息也压缩掉了。结果 Agent 在后续回复里开始胡言乱语。
没有隔离机制,这种”污染 skill”会感染所有下游任务。
Skill Workshop 用 4 把锁同时解决这两个问题:
- • 隔离 → 控制污染扩散(失控 ②)
- • 回滚 → 控制能力漂移(失控 ①)
- • 审批 → 从源头减少问题 skill 进入
- • 提案 → 让所有 skill 都有据可查
真正的 AI 自进化,从来不是让模型随便改自己。而是让人类知道它改了哪里、改了什么、改回来要多久。
这句话,请每个做 Agent 产品的人刻在脑子里。
四、对从业者的 3 点启示
如果你正在用 Agent 干活(不管是 OpenClaw、Coze、Dify 还是 LangChain),Skill Workshop 的设计给你 3 点启示:
① 别迷信”AI 自我进化”营销词
下次再看到厂商说”我们的 Agent 能自进化”,问一句:
“自进化生成的 skill,谁审批?”
答不上来的,谨慎用。
更狠一点,问三个问题:
- 1. skill 有版本号吗?
- 2. 能回滚吗?
- 3. 有没有隔离机制?
三个都答”没有”——快跑。
② 给自己也搭一套 proposal 流程
哪怕你不用 OpenClaw,也可以照搬这个思路:
- • Agent 生成的代码 → 先提 PR
- • 关键 skill 改动 → 先 code review
- • 不确定的改动 → 先在 staging 环境跑
- • 每次改动 → 写清楚”为什么改”和”触发场景”
最简单的审核机制,就是 Git PR。
不要觉得”我这是小项目,不需要这么重”。
你今天觉得”小”,明天生产事故会让你觉得”大”。
③ 关注”状态可恢复性”
Skill Workshop 不是孤立的,它和 v2026.6.1 里 iMessage 状态从 JSON 迁到 SQLite 是一对组合拳。
它们都在解决同一件事:生产环境的 Agent,状态必须可恢复。
如果你现在的 Agent:
- • 跑在 JSON 文件上
- • 跑在内存里
- • 跑在某个不可持久化的状态机上
- • skill 没有版本号
- • 出问题只能”重启大法”
——劝你早点重构,不然出问题时哭都来不及。
可恢复性的 3 个底线:
- 1. 状态可持久化(SQLite/PostgreSQL,不要 JSON 文件)
- 2. skill 可版本化(每次改动都有记录)
- 3. 行为可回滚(一键回到上一个稳定版本)
结尾
OpenClaw 这个项目挺有意思。
别家还在卷”我的模型又大了多少 B”、”我的 Agent 又能调用多少工具”,他们在做一件看起来不那么性感、但工程上至关重要的事:
把 Agent 从”实验室玩具”,推向”生产可用”。
Skill Workshop 上线 16 天了,我没看到几个人聊它。
但在我看来,这是 6 月 OpenClaw 所有更新里最被低估的一颗钉子。
它不炫,但稳。
它不是要颠覆什么,它只是把工程界最基本的规矩(提案、审批、隔离、回滚)原样移植到了 AI 时代。
当所有人都在喊”颠覆”的时候,把基础打牢的那一个,才是真的赢家。
你用 OpenClaw 或别的 Agent 干活时,踩过哪些”自进化翻车”的坑?
评论区聊聊,下篇我写 Windows 原生节点——OpenClaw 是怎么把 Agent 从机房搬到你的桌面的。
如果这篇有戳到你,点个”在看”,转给你的 Agent 开发者朋友。
下篇见。✍️
📎 附录:参考资料
- • OpenClaw v2026.6.1 Release Notes(2026-06-03)
- • AgentRiot: OpenClaw 2026.6.1 Ships Skill Workshop Governance, Workboard Orchestration, and SQLite State
- • Fast.io: How to Read the OpenClaw Changelog and Track Every Update
- • Houdao: OpenClaw 2026.6.1 Released: AI Agents Get Native Windows Support, Can Access Screen and Camera
- • Hacker News 热帖:Claude Code scanning HERMES.md and refusing requests / 50x cost spike(2026-04-30)
作者:文昌 ✍️ | 内容创作专家,公众号「~虾米AI派~」主笔 版权:转载请联系作者授权