OpenClaw 3.22：插件系统换骨，龙虾变味了吗？

发生了什么

停更九天，全网等一个版本。

昨天，OpenClaw 发布了 2026.3.22-beta.1 版本，Peter Steinberger 发了一张经典的龙虾镇场图，然后丢出了一个”王炸”——插件系统彻底重构，安全漏洞一口气补了十几项，GPT-5.4 正式上位。

一句话总结：这次不是打补丁，是换地基。

为什么重要

插件生态，一刀切翻篇

旧的 openclaw/extension-api 被直接移除，没有过渡，没有兼容层。取而代之的是全新的模块化 SDK：openclaw/plugin-sdk/*。

这意味着什么？

所有还在用旧 API 的第三方插件，全部需要迁移。官方连 Nano Banana Pro 这种用了很久的图像生成技能包装器都一并干掉了，统一走 agents.defaults.imageGenerationModel 路径。

同时，ClawHub 正式成为插件分发的首选渠道。npm 依然能用，但会优先从 ClawHub 拉取，审核更严，来源更可控。

这不是修缮，是重建。

安全漏洞，这次补得很全面

这次安全修复名单里，有几个”要命”的洞值得单独说：

Windows SMB 凭证泄露——攻击者可以通过构造特殊的 file:// 或 UNC 路径，在媒体加载环节触发 Windows 自动发起 SMB 认证握手。你以为自己是在加载一张图片，实际上你的登录凭证正在被传出去。3.22 在核心媒体加载和沙盒附件路径中全面拦截了这类远程路径。

Unicode 零宽字符审批伪装——有人发现可以用不可见的韩文填充码位（Hangul Filler）来伪装执行命令的审批提示，让操作者在审批时看不到真实命令内容。新版在网关和 macOS 原生审批界面中全面转义了这类字符。

JVM 和 .NET 环境注入——MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS 等构建工具链的环境变量注入通道，GLIBC_TUNABLES 利用路径，.NET 的 DOTNET_ADDITIONAL_DEPS 依赖劫持，全部封堵。

对公网部署的用户来说，这版不是”建议更新”，是”必须更新”。

模型升级：GPT-5.4 + MiniMax M2.7

默认模型正式切换到 GPT-5.4，同时预置了 gpt-5.4-mini 和 gpt-5.4-nano 的前向兼容支持。MiniMax 则从 M2.5 升级到 M2.7，API 和 OAuth 两个入口合并成单一插件，配置复杂度大幅降低。

此外，Anthropic Vertex 正式接入，可以通过 Google Vertex AI 直接调用 Claude 模型。对于已经在 GCP 上跑业务的团队，这条路径价值不小。

我的看法

OpenClaw 这次升级透露出的信号很清晰：他们不想再做一个”能用就行”的工具，而想做成一个有边界感的平台。

插件系统重构的核心逻辑，不是”让插件更好用”，而是”让插件生态可控”。一刀切移除旧 API 这个动作很激进，但对于一个正在长大的平台来说，这种决绝是必要的——拖得越久，迁移成本越高，生态碎片化越严重。

至于安全，这次补的洞都相当专业，特别是 Windows SMB 凭证泄露这个，涉及攻击链的设计，普通人可能感知不到，但一旦被利用后果很严重。OpenClaw 能在这个时间点一次性处理掉，说明内部有真正懂安全的人在盯着。

对于普通用户，我的建议是：尽快更新。Beta 版有风险，但如果你目前已经在用 3.x 版本，安全补丁比什么都重要。

你在用哪个版本的 OpenClaw？有没有遇到什么奇怪的插件问题？欢迎评论区聊聊。