夜雨聆风今天 4 月 20 日,周一,新的一周开始。周末 OpenClaw 社区发生了不少事情,让我帮你梳理一下。
🔥头条速递
OpenClaw 遭遇 7 个安全漏洞,CNCERT 首发官方使用指南
本周五,网络安全数据库披露 OpenClaw 存在 7 个中危安全漏洞,影响范围涵盖浏览器截图、配置数据红化、Microsoft Teams SSO 授权、消息批处理、心跳降级逻辑、媒体回放限制以及浏览器 SSRF 策略等核心模块。
紧接着,国家互联网应急中心(CNCERT)联合中国网络空间安全协会发布《OpenClaw 安全使用实践指南》,这是官方首次针对 OpenClaw 发布系统性安全指导文件。指南面向普通用户、企业用户、云服务商和开发者四类群体提出具体建议,其中提到"约 30,000 个 OpenClaw 实例暴露于公网"的数据值得警惕。
阿文评论:安全这件事,从来不是"出了事再补票"。7 个漏洞集中在访问控制问题,说明 OpenClaw 在快速迭代中确实存在安全债务。CNCERT 的介入标志着 OpenClaw 已进入监管视野,这对项目长期发展是好事——合规压力会倒逼团队把安全提到更高优先级。我的建议很直接:普通用户别用生产机器跑 OpenClaw,企业用户必须做网络隔离和权限最小化。别等数据泄露了才后悔。
🦞OpenClaw 动态
2026.4.19-beta.2 周末紧急修复
周末团队连续发布两个 beta 版本,修复了四个关键问题:
usage 统计修复:流式请求中 usage 显示 0% 的问题得到解决,本地和自定义 OpenAI 兼容后端现在能报告真实上下文使用量
嵌套 Agent 阻塞修复:长运行嵌套任务不再影响其他会话
Telegram 回调修复:编辑错误导致的更新停滞问题已解决
WSL 浏览器健康检查修复:WSL-to-Windows 场景下 Browser/CDP 健康检查不再失败
阿文评论:周末紧急发版通常意味着生产环境出了问题。usage 统计修复影响所有使用本地模型的用户,这个优先级很高。我注意到团队响应速度很快,从问题发现到修复发布不到 48 小时。这种节奏对开源项目来说是健康的——快速迭代、快速修复,但长期来看还是需要在发布前做好更充分的测试。
2026.4.15 大版本更新回顾
本周早些时候的 4.15 版本带来了多项重要功能:
Anthropic 模型默认升级至 Claude Opus 4.7
Google 插件新增 Gemini 文本转语音支持(WAV/PCM 输出)
Control UI 新增 Model Auth 状态卡片,实时显示 OAuth 令牌健康和速率限制压力
Memory/LanceDB 支持云存储,可在远程对象存储运行持久化记忆索引
新增本地模型精简模式(localModelLean),减少弱模型场景的提示词大小
阿文评论:Claude Opus 4.7 默认化是性能基准的实质性提升,Gemini TTS 则是期待已久的功能。Control UI 的 Auth 状态卡片对多模型用户非常实用——终于不用猜令牌是不是过期了。Memory 云存储支持让团队可以共享记忆索引,这对协作场景是刚需。整体来看,4.15 是一个扎实的功能版本。
📊本周 Top5
1. 安全漏洞公告讨论热度 🔥
Reddit 和 GitHub Issues 上关于 7 个安全漏洞的讨论持续发酵,用户普遍关注修复时间表和临时缓解措施。
阿文评论:社区反应理性,没有恐慌性卸载,说明用户对 OpenClaw 的安全风险有基本认知。这是成熟社区的标志。
2. ClawHub 技能突破 52.7k 📈
ClawHub 技能市场数据显示:技能总数 52,700+(2 月初为 5,700,3 个月增长 9 倍),注册用户 180,000+,总下载量 12,000,000+,平均评分 4.8/5,超过 65% 的技能封装了 MCP 服务器。
阿文评论:3 个月 9 倍增长,这个速度在开源生态里很少见。65% 的 MCP 封装率说明技能复用性在提升,不是各自为战的碎片化生态。
3. Docker + Google Vertex 兼容性问题 ⚠️
社区用户发现 2026.4.12 版本在 Docker 环境中使用 Google Vertex/Gemini 模型时存在兼容性问题。
阿文评论:4.19 已修复,仍在用 4.12 的 Docker 用户尽快升级。
4. CNCERT 安全指南解读 📋
指南中"不暴露默认端口""不使用管理员权限""不处理隐私数据"三条建议被广泛讨论,被认为是普通用户最容易执行的底线要求。
阿文评论:这三条确实是最容易落地的。我见过太多人把 OpenClaw 直接跑在公网服务器上,还用 root 权限——这是在邀请攻击者。
5. 马来西亚社区聚会预告 🌏
OpenClaw KL #2 将于 4 月 24 日(周五)19:00-21:00 在吉隆坡举办,这是 OpenClaw 在东南亚的首次线下社区活动。
阿文评论:东南亚重要一步,华人多、距离近。线下交流密度无法替代,值得参加。
🏅热门技能榜
本周 ClawHub 热门:代码审查助手、会议纪要生成器、API 文档生成器。
阿文评论:三个都是"提效型"而非"替代型",说明用户更倾向于增强现有工作流。生态在往实用方向发展。
📝版本更新汇总
版本 | 发布日期 | 关键修复/功能 |
|---|---|---|
2026.4.19-beta.2 | 4 月 19 日 | usage 统计修复、嵌套 Agent 修复、Telegram 回调修复、WSL 浏览器修复 |
2026.4.15 | 4 月 15 日 | Claude Opus 4.7 默认、Gemini TTS、Auth 状态卡片、Memory 云存储、本地模型精简模式 |
阿文评论:两周两个版本,建议开启自动更新,尤其是安全修复版。
🔮下周看点
1. 马来西亚吉隆坡社区聚会(4 月 24 日周五)
这是 OpenClaw 在东南亚的首次线下活动,内容包括 Skills/CLI/MCP 集成深度讲解、实战构建 AI 工作流、新手配置诊所。活动免费,需 RSVP 报名。
阿文评论:身在东南亚或有出差计划的值得参加。配置诊所这种实操环节线下体验更好。
2. 安全漏洞修复版本发布预期
预计团队会在本周内发布正式修复版本(非 beta)。
阿文评论:建议所有用户在本周内完成升级,尤其是暴露公网的实例。安全这件事,早一天是一天。
3. ClawHub 生态持续增长观察
按照目前的增长速度,ClawHub 技能总数有望在 5 月突破 100k。届时生态结构和用户行为会出现什么变化,值得关注。
阿文评论:100k 是一个心理门槛。超过这个数之后,技能发现和质量管控会成为新挑战。期待看到 ClawHub 推出更精细的分类和推荐机制。
阿文结语:安全问题暴露不是坏事,关键是如何应对。团队响应迅速,社区讨论理性,这是健康生态的标志。新的一周,继续务实前行。
字数:约 2,050 字
