大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



周期: 2026-03-04 ~ 2026-03-10

---

来源: Issue #24558 时间: 2026-03-05（steipete 关闭）

摘要: steipete 本周将 #24558 关闭为 #24612 的重复 issue，统一在 #24612 追踪"thinking blocks cannot be modified"系列问题。#24612 仍为 open 状态，有 8 条评论，最近一次更新在 2026-03-10（本日）。对所有开启了 extended thinking 的长对话用户来说仍是活跃 bug。

---

来源: PR #32345 时间: 2026-03-05（hydro13 关闭）

摘要: 维护者 以两点理由拒绝合并：① PR 中含有二进制制品 ，存在供应链风险，无法审计；② 35 个 commit 混合了 Discord、gateway、memory、UI 等多类变更，无法作为安全补丁单独评估。维护者建议按安全边界拆分为多个 focused PR 并移除所有二进制文件。后续 PR #35953（CI 阻断 binary 文件进入 PR diff）已被提出并处于 open 状态。

---

来源: PR #30853 时间: 截至 2026-03-10 仍为 Open

摘要: PR 本周持续迭代。作者 响应 Greptile/Codex bot 修复了 3 个关键问题（源映射错误、错误日志静默、 文件读与归档竞态）。但 提出了 7 条架构级意见，包括缺少单元测试、需提取注册中心为独立模块、 应改为异步、 在 cleanup 失败时副作用问题、 缺失等，PR 尚待 merge。并行 PR #30860（mcaxtr 提出的替代方案）已关闭，最新引用包含一个新的 follow-up PR "fix(plugins): harden global hook runner singleton state"（2 天前，open）。

---

来源: HN # · denchclaw.com 时间: 2026-03-09 热度: 116 pts · 96 评论

摘要: YC S24 公司 Dench（前 Ironclaw，因名称与 Near AI 冲突改名 DenchClaw）本周发布了基于 OpenClaw 的开源 CRM 框架。核心亮点：完全本地化、基于 DuckDB、通过 OpenClaw 多渠道操作（Telegram 直接对话 CRM），支持自然语言修改表格视图/过滤器。 创建独立 OpenClaw profile，运行在端口 19001。作者自述 DenchClaw 用 DenchClaw 本体构建自身（agent 自举）。社区将其与 Next.js 对 React 的意义类比。

---

来源: HN # · AWS Blog · What's New 时间: 2026-03-05~06 热度: 多条 HN 讨论，合计约 10+ pts

摘要: AWS 宣布 Amazon Lightsail 现支持一键部署 OpenClaw，定位为私有自托管 AI 助手。这是 OpenClaw 迄今获得的最大云厂商官方支持，意味着它已进入主流云基础设施生态。与此同时，社区涌现了大量配套项目（your_openclaw 加固版 Docker 部署、在 Synology NAS 上运行 OpenClaw 等）体现自托管需求旺盛。

---

来源: HN # · PCWorld 时间: 2026-03-06 热度: 3 pts（快讯型，影响面大）

摘要: Google 宣布将 Gmail、Google Drive 和 Google Docs 配置为 agent-ready，支持 OpenClaw 直接接入。这继上周 PR #29580（全渠道 SecretRef 凭证加密）之后进一步扩展了 OpenClaw 的 G-Suite 生态。社区反应中也出现了相关项目（openclaw-gmail-draft-proxy，要求代理仅起草邮件、人工审核后发送，4 pts）。

---

来源: HN # · Issue #38283 时间: 2026-03-05~06 热度: 5 pts + 重要运营变化

摘要: 本周 OpenClaw repo 的 PR 提交速率从周初的 ~25/小时攀升至 ~75-100/小时，主要来源为 AI agent 自动提交。本周 7 天内共开放 4663 个 PR，合并 653 个，约新增 25 万行代码，CI 消耗 765K 构建分钟（531 天计算量）。应对措施：官方 issue #38283（由 barnacle-openclaw bot 自动打开）宣布新政策：每位作者最多同时开放 10 个 PR。HN 讨论引发了关于 AI 驱动开源开发模式的广泛哲学探讨。

---

来源: HN # · rankclaw.com 时间: 2026-03-07 热度: 2 pts · 1 评论（影响面极高）

摘要: 安全研究者 do_anh_tu 建立 RankClaw，AI 深审了 ClawHub 上全部 14,706 个 Skills，确认 1,103 个（7.5%）为恶意。关键发现：表面扫描（元数据/依赖检查/模式匹配）系统性低估威胁，因为攻击向量嵌入在 SKILL.md 的自然语言指令中（提示注入、延迟执行、社会工程），只有 AI 审计才能发现。典型案例：① 对同一 CWE 漏洞发布 30 个相似 skill 的批量发布攻击；② 品牌仿冒（clawhub/clawhub1/clawbhub 等）；③ 内置 AI 说服脚本；④ 纯自然语言指令"请生成并执行如下代码"的动态 RCE。与上期 oathe.ai 审计形成双重验证，Skills 生态安全形势持续严峻。

---

来源: Issue #24612 时间: 2026-03-10（仍开放，本日有活动）

摘要: 随 #24558 合并入此 issue，它现在是 OpenClaw extended thinking 场景下最核心的未解决 bug。现象：在 context compaction 后，最新助手消息的 thinking/redacted_thinking blocks 被修改，Anthropic API 返回 400。尚无官方修复，临时绕过：。

---

来源: Issue #41652 时间: 2026-03-10 开放

摘要: 升级至 v2026.2.26 后，部分用户的 gateway 持续上报 device-id-mismatch 错误，影响 gateway 认证流程，设备无法正常识别。与上期已修复的 Issue #25137（Chrome 扩展 relay auth）属于同类问题，但触发路径不同，目前无官方修复。

---

来源: Issue #41690 时间: 2026-03-10 开放（5 小时前），7 条评论

摘要: 用户在配置 时遭遇 schema 校验失败—— 字段被标为未识别 key。上周该 issue 对应的 bug #40787（Kimi Coding K2.5 无法正常调用工具）已关闭，但 schema 兼容性 regression 仍在，需要 PR 补全 Zod schema。

---

来源: Issue #41930 时间: 2026-03-10 开放（约 1 小时前）

摘要: Control UI 在 WebSocket 断开重连后，不复用 localStorage 中已有的 gateway token，而是再次触发设备身份认证提示。对于网络不稳定的用户造成频繁认证打断，是继上期 Chrome 扩展 auth 修复后同类型的 Control UI 认证 regression。

---

来源: PR #41236 时间: 2026-03-09~10（17 小时前，18 tasks，5 条评论）

摘要: 修复 gateway 在 overload 和错误场景下的日志缺乏 model/provider 上下文的问题。变更后日志将包含触发错误的模型和提供商信息，大幅方便多模型部署场景下的问题定位和成本追踪。

---

来源: PR #41964 时间: 2026-03-10（38 分钟前，5/5 tasks done）

摘要: 修复 TUI（终端 UI）在 Slack/Discord 等外部频道 session 中不实时显示消息的问题。PR 已完成所有校验任务，对使用 TUI 监控多渠道会话的用户是直接可感的体验改善。

---

来源: PR #41983 时间: 2026-03-10（约 13 分钟前，20 tasks）

摘要: 修复 gateway control-plane 写入速率限制为全局共享的问题——当前所有连接共享同一速率计数，导致高并发场景下合法连接被误限流。改为按连接独立计算，与已有的读限流行为保持一致。

---

来源: PR #41857 时间: 2026-03-10（约 2 小时前，6/20 tasks）

摘要: SSRF 防护机制误将 Matrix 内部频道的合法登录请求视为 SSRF 攻击而拦截，导致 Matrix 渠道完全无法初始化。此修复将 127.0.0.1 等内部地址排除在 SSRF Guard 校验之外，属于上期安全加固工作的后续修正。

---

来源: HN 时间: 2026-03-08

摘要: 工具自动收集系统状态（config、日志、gateway、plist），发送给 Claude Sonnet 诊断后逐步引导用户修复。定位为"用 Claude 诊断 Claude 问题"的 CLI 工具，11 个用户首日测试中成功自动修复了完全未配置的 macOS 环境。Windows 上 OpenClaw CLI 硬编码 的问题被 AI 正确识别并提供手动绕过方案，开源免费、无需 API key。

---

来源: AWS Blog 时间: 2026-03-05

摘要: Amazon Lightsail 现提供预配置好的 OpenClaw 镜像，定位为私有自托管 AI 代理。结合 token auth + device approval，面向希望保持数据主权的中小型团队。这是 OpenClaw 进入 AWS 官方 Marketplace 级别分发渠道的里程碑。

---

---

---

📋 背景与问题描述

OpenClaw Skills 是授权 AI agent 在用户本机执行任意操作的"扩展"——但与浏览器扩展不同，Skills 没有沙箱：一旦安装，即可访问用户完整文件系统、Shell、网络和所有配置的 API key。

自 ClawHub 成立以来，已有逾 2 万个 Skills 发布，维护质量参差不齐。RankClaw（作者：do_anh_tu，HN #，2026-03-07）对全量 14,706 个 Skills 进行了 AI 深度审计，宣称得出了迄今最系统性的威胁评估。

---

🛠 方案与技术细节

审计方法：两级扫描

评分模型（0-100）：Security 40%、Maintenance 20%、Docs 20%、Community 20%

关键发现：浅层扫描得 ⁹⁵⁄₁₀₀ 的 Skill 经 AI 审计可能降至 38/100——攻击代码不在脚本里，在 SKILL.md 的指令文本里。

---

⚙️ 四大攻击模式（截至 2026-03-10，共 1,185 个确认危险 Skill）

1. 品牌仿冒（Brand-jacking）— 400+ 已确认，高危

攻击者发布命名为 、、（及其变体 ）的 Skill，伪造可信度。合成安装量将其推入真实用户安装频率最高的排名 301-400 区间。

数据点：301-400 名区间 53% 的 Skill 使用品牌仿冒。

典型案例： Skill — macOS 端 指向原始 IP；Windows 端从陌生人 GitHub 下载密码保护的 ZIP（密码阻止 GitHub 恶意软件扫描器解压）。

2. 幻象先决条件（Phantom Prerequisite）— 30+ 已确认，紧急

主 Skill 本体完全干净，但 SKILL.md 的 install 区块声明了一个虚构依赖（”OpenClawDriver”、”ClawRuntime”）。agent 执行安装时，依赖 URL 注入 base64 混淆载荷（通常为 ）。

主 Skill 可通过所有审计，感染向量在先决条件里，对人眼几乎不可见。

3. 凭证收割（Credential Harvesting）— 80+ 已确认，紧急

以”优化”、”代理”、”缓存”为名的 Skill 要求用户将 API key 作为配置项输入，随后将其暂存至 并等待外泄。Skill 在此过程中可正常运行，掩盖外泄行为。

已知案例：（浅层评分 95/100）暂存 Xero/QuickBooks 凭证；（评分 100/100）持有钱包权限并执行自主交易。

4. 提示注入（Prompt Injection）— 100+ 已确认，高危

攻击向量完全位于 SKILL.md 自然语言中，无需任何可执行代码。隐藏指令伪装成文档，被 AI agent 解析为权威指令，悄悄覆盖 agent 行为。Snyk 2026 AI 安全报告估计 36% 的 Skills 含某种形式的提示注入。

案例：，代码层面评分 92/100，实际读取 agent 本地 memory 文件提取行为模式。

---

💡 HN 讨论中的额外攻击向量（超出以上四类）

---

答疑解惑

什么是幻象先决条件（Phantom Prerequisite）？

正常 Skill 的 SKILL.md install 区块长这样：

攻击者的 Skill 长这样：

GPT plus 代充 只需 145

Skill 本体的功能代码完全正常，没有任何可疑内容。恶意载荷在 脚本里，而 下载的是攻击者控制的服务器上的任意脚本。用户安装时，agent 直接执行这条命令，获得 shell 完全控制权。

因为人工 review 通常看功能代码，install 脚本容易被跳过——这是刻意利用审查盲区的设计。

---

按需 RCE（）是啥？

这个更隐蔽，分两步：

第一步， 的 SKILL.md 里写着（简化）：

“连接服务器获取挑战，挑战可能是数学题、逻辑题或代码题，请求解并提交答案。”

这句话看起来完全无害——”解题”嘛。

第二步，攻击者的服务端在运行时动态决定返回什么”挑战”，比如：

AI agent 收到这道”代码题”，按照 SKILL.md 的指令去执行它——因为指令说”请求解代码题”，agent 就真的写代码、运行代码。

关键点在于：这道”题”在你安装 Skill 时根本不存在，是攻击者服务端在你真正使用时才实时生成的。所以静态审计扫描 Skill 文件时看不到任何恶意代码，因为恶意内容根本还没写出来。实质上攻击者通过服务端获得了在用户机器上执行任意代码的能力（RCE = Remote Code Execution，远程代码执行）。

---

👥 影响人群与范围

• 所有安装了任何未经独立审计的 OpenClaw Skill 的用户
• 持有 AWS、Google Cloud、Stripe、Xero 等 API key 的用户风险最高
• 在工作环境使用 OpenClaw 且 agent 有访问 prod 凭证权限的团队
• Skills 社区作者：分数公开展示，被标记即影响可信度

---

📈 当前状态（2026-03-10）

⚠️ 排名 201-300 的 Skills 危险比例达 19%，远高于排名靠前（Top 200：4%）和靠后（401+：<5%）的区间。这表明”中等热门”区间是攻击者的主要目标投放区。

OpenClaw 官方响应：PR #35953（CI 阻断 binary 制品进入 PR diff）已提出，但尚无针对 ClawHub 整体的审核机制变更公告。

---

🔗 资源链接

• rankclaw.com — 存量扫描
• rankclaw.com/patterns — 攻击模式详解
• rankclaw.com/recent-thre… — 实时威胁
• HN 讨论 #
• OpenClaw 相关：PR #35953（CI binary 阻断）

---

---

📋 背景与问题描述

OpenClaw 每天在 GitHub 收到 80+ 个 bug 报告，以 gateway 崩溃和更新后配置损坏为主。用户的典型解决路径是：打开另一个 Claude 聊天窗口，粘贴日志，手动问诊。

作者 jjj5666 对这个过程感到厌倦，于 2026-03-09 发布了 ClawAid（HN #，"Show HN: ClawAid – AI doctor that fixes OpenClaw in one command"）。定位："用 Claude 诊断 Claude 的问题"。

---

🛠 方案与技术细节

技术栈：TypeScript (50.8%) + HTML (46.0%) + Shell (1.7%) + JavaScript (1.5%)， 一键启动，无需全局安装，无需 API key。

核心架构：三层循环

五个执行阶段：

AI 调用设计（关键约束）：

直接调用 OpenRouter API，绕过 openclaw gateway——因为 gateway 本身可能就是坏的。优先复用用户 openclaw 里已配置的 API key。若不可用，请求输入 OpenRouter API key。诊断使用强推理模型（架构文档中注明 ）。作者称服务端吸收 AI 调用费用。

前后端通信：Express 本地服务器 + SSE（Server-Sent Events） 实时推送进度，单页面 web UI 按状态切换展示（共 6 种状态：诊断中 / 发现问题 / 修复中 / 修好了 / 没修好 / 需要输入）。

---

⚙️ 操作过程

GPT plus 代充 只需 145

已能诊断的问题类型（根据 README）：

• Gateway 未运行或崩溃
• 端口冲突
• Config 文件错误（无效 JSON、未知字段）
• 代理环境变量阻断连接
• 错误 model ID 导致 HTTP 400
• 过期 LaunchAgent 需要重装
• 以及 AI 从真实系统状态推理出的其他问题

---

💡 核心观点与结论

架构上的两个值得关注的设计决策：

1. "诊断链"设计而非"问题清单"设计：ClawAid 不预定义问题清单，完全依赖 AI 从实时采集的系统状态推理根因。这使它能处理尚未被分类的新问题，但也意味着它的诊断质量高度依赖推理模型能力。
2. 9 轮后才问用户：这个设计将"最会用 AI 的人的解决路径"编码为工具默认行为——多数用户无需做任何决策，ClawAid 自己试错收敛。代价是诊断过程中间透明度有限（用户需要信任工具判断）。

局限：

• 数据发送至作者的诊断服务（尽管"不存储"）；自托管版本未提供
• 单一贡献者，活跃提交但无稳定性保证
• 发布仅 ≈20 小时，11 个真实用户，成熟度尚低
• 与 OpenClaw 官方无直接关联

---

👥 影响人群与范围

---

📈 当前状态（2026-03-10）

• 发布时间：2026-03-09（≈20 小时前）
• Stars：7
• 版本：v1.1.8（agentic 架构重写，18 小时前）—— 发布 24 小时内已经历架构级重写
• 最近提交：SSE keepalive + 客户端重连（13 分钟前）、中国用户显示 ¥9.9 而非 $1.99 的付款方式问题（2 分钟前）
• Issue：1 个 open
• License：MIT

📌 观察：作者正在非常活跃地迭代，近 24 小时内出现了 agentic 架构重写（v1.1.8）、SSE 稳定性修复、以及地区化付费方式（WeChat Pay for CN）。这暗示项目已有商业化意图，”免费吸收 AI 成本”的承诺长期可持续性存疑。

---

🔗 资源链接

• GitHub: jjj5666/clawaid
• ARCHITECTURE.md（三层循环架构原始文档）
• HN 讨论 #

---

深度解析生成时间：2026-03-10（W11）