OpenClaw这次大更新,插件开发商要骂人

OpenClaw 这次更新，插件开发商要骂人

23号推了新版，v2026.3.23。内容量不小，但说实话大多数普通用户感知不强——真正会骂人的是插件开发者。

原因很简单：旧 API 全废了。

插件 SDK 这次动的是大手术

之前用 openclaw/extension-api 写插件的，现在这个路径已经不存在了，官方直接删掉，没有任何过渡层。新的入口是 openclaw/plugin-sdk/*，而且不能直接 import SDK 根路径，必须走注入的运行时访问宿主能力。

举个例子：

旧代码（已废弃）：

import { ExtensionAPI } from
“openclaw/extension-api”;

新代码：

import { api } from
“openclaw/plugin-sdk/core”;

// 通过 api.runtime.agent
.runEmbeddedPiAgent() 这样的方式
调宿主接口

迁移文档：

docs.openclaw.ai/plugins/sdk-migration

另外消息发现接口也改了。原来 listActions、getCapabilities、getToolSchema 三个方法统一砍掉，改成了 describeMessageTool(…)。还在用旧接口的插件现在就跑不起来了。

ClawHub 优先级高于 npm

这个变更对普通用户反而是好事。

之前 openclaw plugins install 是直接走 npm，现在优先查 ClawHub，找不到才回退 npm。这样可以避免包名劫持这类安全问题——ClawHub 是官方市场，审核比 npm 严多了。

随之而来的变化：

Claude marketplace 可以直接装了，plugin@marketplace 语法
Codex、Claude、Cursor bundle 都能发现和安装
openclaw skills search|install|update 有了原生命令支持

默认模型悄悄换成了 GPT-5.4

毕竟peter 现在加入OpenAI了嘛。

国内用户一般是没法使用OpenAI 模型的，但是最近有个羊毛可以薅一年：OpenAI推出学生免费计划，新的羊毛来啦！，就是说，如果你把服务器也放到境外比如新加坡或者韩国日本，这个链路就稳了。

如果你用的是 OpenAI 的模型，下一次对话会明显感觉变强——不是幻觉，就是模型换了。

不只是 chat 模型，OpenAI 的 image、TTS、transcription、embedding 的默认配置项这次也做了集中统一，后续切模型会更省事。

沙箱架构从 Docker 解套了

这是我觉得这次更新里架构层面最值得关注的变化。

之前跑 openclaw sandbox，底层一定是 Docker。但从这次开始，沙箱后端变成了可插拔的设计。

新增了两种后端：

OpenShell：有 mirror 和 remote workspace 两种模式
SSH：可以直接连远程服务器作为沙箱，密钥、证书、known_hosts 都能配

实际场景是这样的：你想在测试服务器上跑一个代码审查任务，直接执行：

openclaw sandbox create
–backend ssh
–host dev-server
–user admin

不需要 Docker，不需要配容器，直接 SSH 上去就执行了。对于公司有特定网络或算力要求的团队，这个变化挺实用。

安全漏洞这次修了几个

JVM 注入这个我仔细看了一下，确实有点严重。更新之前，通过设置 MAVEN_OPTS、SBT_OPTS 这类环境变量，可以往宿主的 JVM 里塞任意代码——这是很典型的供应链攻击路径。这次全部拦截了：

MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS、ANT_OPTS
GLIBC_TUNABLES（glibc 调优利用）
DOTNET_ADDITIONAL_DEPS（.NET 依赖劫持）

Voice webhook 那边也有问题。之前未授权的请求可以触发 1MB/30s 的 body 缓冲，攻击者可以靠这个把服务器资源耗光。这次改成 64KB/5s，还加了来源 IP 并发上限。

多家 AI 提供商接进来了

这次一口气接了不少新玩家：

Google Vertex AI——通过 GCP 用 Claude
Chutes——新插件化 AI 提供商
Tavily——专业 AI 搜索，工具名 tavily_search 和 tavily_extract
Firecrawl——网页抓取
Exa——另一个 AI 搜索插件
Matrix——用官方 matrix-js-sdk 重写了，消息去重和房间事件持久化都做了

如果你是插件开发者

这次必须动起来了，没有退路：

用旧扩展 API 的 → 迁移到 openclaw/plugin-sdk/*
消息发现还在用旧接口的 → 改 describeMessage(…)
状态目录还在 ~/.moltbot 的 → 手动移一下
环境变量还是 CLAWDBOT_* / MOLTBOT_* 的 → 换成 OPENCLAW_*
Chrome 扩展 relay 配置 → openclaw doctor –fix 可以自动修

普通用户这边就简单了，执行 openclaw update 升级，然后跑一下 openclaw doctor –fix 排除配置问题就行了。

我的感受

这次更新说实话不像官方吹的”史上最重要版本”那么夸张，但插件 SDK 重构这一步迟早要走，早走比晚走好。真正值得高兴的是安全那块——JVM 注入和 Voice webhook 这两个漏洞说严重挺严重的，修了总比没修强。

沙箱解耦这个，我认为是长期正确的方向。Docker 不是不好，但有些场景下确实太重了。

不过 ClawHub 优先 npm 这个策略，后面可能会有争议——npm 上一些包还没有上 ClawHub，回退机制能不能 work 得观察一阵子。