Skill Workshop 正式发布！Agent 创建的技能现在会先以提案形式展示，经过审核后才会生效。支持 Board 视图和 Today 视图，让你在技能改变未来行为之前先审查、修订、应用。技能不再只是 Markdown，而是改变未来工作方式的指令。

ClawHub 所有技能现在都附带 NVIDIA Skill Card，记录发布者、功能和扫描结果。NVIDIA SkillSpector 扫描器结合静态检查和 AI 语义分析，标记隐藏指令、危险代码路径和过度权限。67,453 个技能的扫描数据集已开源到 HuggingFace。三大扫描器（VirusTotal + 静态分析 + SkillSpector）仅有 0.69% 的重叠率！

OpenClaw 新增企业级 exec 审批自动模式：策略优先运行，低风险命令自动放行，高风险命令仍需人工确认。Auto Mode 让 Agent 在安全和效率之间找到平衡点。

2-5 月的版本更新带来显著性能提升：冷启动速度提升 5.1 倍（9.8s→1.9s），包体积减少 59%（43.3MB→17.9MB），依赖减少 53%（645→300）。Agent 响应更快，资源占用更少。

安全路线图的核心目标：让 OpenClaw 成为用户能理解、观察和信赖的强大个人助手运行时。涵盖 fs-safe 文件系统安全、Proxyline 代理安全等关键方向。

Novee Security 发现新型 CI/CD 工作流弱点" Cordyceps"，任何未认证用户都可劫持工作流、伪造审批、推送代码或窃取凭证。扫描 30,000 个高影响力仓库发现 300+ 个完全可利用，影响 Microsoft、Google、Apache、Cloudflare 等大厂。

安全公司 AIR 构建了一个名为 brand-landingpage 的假技能，声称用 Google Stitch 构建落地页。通过 GitHub Stars 刷量和 Instagram 广告推广，绕过了所有安全扫描器，影响了约 26,000 个 Agent（包括企业账户）。证明当前信任信号（扫描器/Stars/开源声誉）全部失效。

俄语系初始访问代理（IAB）自 2026 年 2 月起大规模攻击 FortiGate 防火墙。使用 Golang 工具 FortigateSniffer 利用 FortiOS 内置诊断命令捕获认证流量，破解后复用凭证攻击 Active Directory 域。

我们正在见证一个时代的终结：人类速度威胁的时代。2026 年初出现的前沿 Agent 模型不再只是建议代码，而是主动测试代码。它们将发现到武器化的时间从数周压缩到近乎即时。AI 正在学会自己瞄准目标。

多国执法部门联合 Bitdefender、ESET、Microsoft 捣毁 Amadey 和 StealC 恶意软件基础设施。拆除 326 台服务器和 142 个域名，识别 4700 万美元加密资产，追回 2700 万被盗登录凭证。

OpenClaw 维护者分享如何使用本地模型（Gemma/Qwen）在 DGX Spark 上实时分类 OpenClaw 仓库的 Issue 和 PR。使用 Pi agent harness + reposhell 受限 shell，实现零成本（不含电费）的实时通知系统。本地模型每秒生成数百个 token，远超每 2 小时批处理方案。

ARD 规范正式发布！由 Microsoft、Google、GoDaddy、Hugging Face 等联合开发。MCP 解决工具调用，Skills 解决指令消费，A2A 解决 Agent 互调，ARD 解决发现层——让 Agent 在运行时动态发现能力，而非预装。HuggingFace Hub 已实现 ARD 参考实现。

NVIDIA 发布 NeMo AutoModel，显著加速 Transformers 模型微调流程。结合 NVIDIA 硬件优化，让企业级 AI 训练更高效。

智谱 AI 发布 GLM-5.2，专为长时间 Agent 任务设计。支持更长上下文、更稳定的工具调用和更可靠的多步推理。

ServiceNow 研究团队测试研究 Agent 的信息泄露风险。当 Agent 被赋予敏感数据访问权限时，如何确保它不会在输出中泄露机密信息？

Agentic Resource Discovery (ARD) 定义了 Agent 和工具的目录、索引和搜索标准。核心变化：从"预装使用"到"运行时发现"。MCP 提供工具调用标准，ARD 提供发现标准。ai-catalog.json 静态清单 + POST /search 动态注册 API。

MCP 无状态化规范进入倒计时阶段。关键变化：initialize 握手移除、Session ID 移除、新增 Mcp-Method/Mcp-Name Header、扩展框架升级。所有 MCP 服务器需在截止日期前完成适配。

OpenClaw 现在默认通过原生 Codex app-server 运行 OpenAI Agent turns，并将经验带回所有模型。Codex 集成让 OpenAI 模型在 OpenClaw 中发挥最佳性能。

复盘 2026.4.24 和 2026.4.29 版本的问题：方向是对的，但执行需要调整。透明分享问题原因和改进措施。