夜雨聆风凌晨刷到 OpenClaw 2026.3.22 的 Release Note 时,我往下滑了很久——Breaking Changes 就有 16 项,Changes 几十项,贡献者名单拉了一长串。
这不是一个常规的月度更新,这是一次架构级的重构。
如果你正在用 OpenClaw,这次更新值得逐条细读。如果你还在观望,这篇文章帮你搞清楚:OpenClaw 在下一盘什么棋。
一、插件生态的"开放平台化"
这次更新最值得关注的变化,不是某个新功能,而是一个信号:OpenClaw 正在从 Agent 框架进化为开放生态平台。
1.1 ClawHub 正式成为首选安装源
以前装插件走 npm,现在 openclaw plugins install <package> 优先从 ClawHub 拉取,npm 降级为兜底。
这不是简单的换个 registry。ClawHub 是 OpenClaw 官方的技能和插件市场(clawhub.com),意味着:
插件有了官方审核和版本管理 开发者有了统一的分发渠道 用户有了可搜索、可评分、可一键安装的体验
类比一下:npm 之于 Node.js,就像 ClawHub 之于 OpenClaw。但 OpenClaw 没有放弃 npm——它只是把选择权交给了生态。
1.2 Claude Marketplace 接入
plugin@marketplace 的出现,意味着 OpenClaw 可以直接安装 Claude 官方市场上的插件。两个 AI 平台的插件生态开始互通,这在 Agent 框架里还是头一遭。
1.3 Codex、Claude、Cursor Bundle 兼容
你能把 Claude Code、Cursor 的 bundle 直接映射为 OpenClaw 的 skill。换句话说,一个 bundle 生态的产出,可以零成本流入另一个生态。
这背后的产品逻辑很清晰:OpenClaw 要做 Agent 世界的"通用层",不绑定任何 IDE、不绑定任何厂商。
1.4 插件 SDK 重构
旧的 openclaw/extension-api 直接删除,新的 openclaw/plugin-sdk/* 取而代之。没有兼容性 shim,没有过渡期——这是一次硬切。
对于插件开发者来说,这是痛苦的。但对于平台来说,这是必要的。旧的 SDK 接口臃肿、耦合深,新 SDK 用窄路径导入强制开发者只拿自己需要的部分,从架构上保证了插件和核心的松耦合。
核心观点:OpenClaw 不只是在做 Agent 框架,它在做 Agent 的"操作系统"。
二、安全:从"好用"到"企业级可用"
这次更新在安全方面下了重手,而且每一刀都砍在真实漏洞上。
2.1 沙箱环境隔离
JVM 注入(MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS)、glibc tunable 利用(GLIBC_TUNABLES)、.NET 依赖劫持(DOTNET_ADDITIONAL_DEPS)——这些名字看着眼熟吗?它们都是已知的供应链攻击向量。
OpenClaw 现在从执行环境中直接封堵了这些路径。当你的 Agent 有权限执行代码时,恶意提示词无法再通过注入环境变量来提权或窃取数据。
2.2 Voice-Call Webhook 防护
之前 webhook 在认证前会缓冲 1MB / 30s 的请求体,攻击者可以发送大量伪造请求耗尽服务器资源。现在:
缺少签名头的请求直接拒绝(不读 body) 缓冲限制降到 64KB / 5s 单 IP 并发未认证请求限流
这就是把安全左移的实践——在攻击面入口就挡住,而不是等到业务层。
2.3 Exec Approvals 透明化
time 命令的审批问题:之前用户批准 time ls,但 allowlist 记录的是 /usr/bin/time 这个 wrapper,而不是 ls。这意味着批准了 time ls 等于批准了 time rm -rf /。现在 OpenClaw 会穿透 wrapper,直接绑定内层可执行文件。小 bug,大隐患。
2.4 SQL 注入修复
Android 联系人搜索中,100% 和 _id 这样的字符串会被 SQL LIKE 的通配符展开,匹配到无关联系人。这是一个教科书级别的注入漏洞,虽然场景有限,但修复态度值得点赞。
这些安全修复传递的信号:OpenClaw 正在从"个人玩具"走向"团队工具"。企业用户最看重的就是安全边界。
三、模型博弈:不站队,只做"通道"
3.1 GPT-5.4 成为默认模型
OpenAI 的默认模型更新到 gpt-5.4,同时 forward-compat 支持 gpt-5.4-mini 和 gpt-5.4-nano。更重要的是,OpenAI 的 chat、image、TTS、transcription、embedding 默认值被集中到一个共享模块。这意味着未来换默认模型时,一次改动全端生效。
3.2 MiniMax M2.7 + 高速模式
MiniMax 从 M2.5 升到 M2.7,同时所有版本都支持 -highspeed 变体。/fast 命令直接映射到高速模型。
3.3 Anthropic Vertex AI
Claude 终于可以通过 Google Vertex AI 调用了。对于已经用 GCP 基础设施的企业,这意味着不用单独管理 AWS 账号就能用 Claude。
3.4 Provider 插件化
OpenRouter、GitHub Copilot、OpenAI Codex、Chutes——这些模型提供商的运行时逻辑全部移到了独立插件里。动态模型回退、认证交换、流式包装、能力提示——全部由插件自管理。
这有个巨大的好处:想接新模型?写个插件就行,不用改核心代码。
核心观点:OpenClaw 的模型策略是"做多通道,不做裁判"。它不告诉你该用谁,它让所有模型都能被方便地接入和切换。
四、开发者体验:细节中的诚意
几个小改动,不大,但让我觉得这个团队在认真用产品。
/btw:不打断对话的"侧问"
/btw 当前会话用了多少 token?——直接回答,不改变上下文。这是一个交互范式的创新:很多时候你只是想问个小问题,不想开一个新会话也不想污染当前上下文。
Telegram 自动话题命名
新 DM 会话自动被 LLM 命名。不用手动整理论坛话题了。
Control UI 改版
Expand-to-canvas 按钮、圆角调节滑块、用量视图优化。这些 UI 改动不会出现在技术博客里,但实际使用时会让你觉得"舒服了一点"。
Android 暗色主题 + 通话记录 + 短信搜索
系统级暗色主题跟随、通话记录搜索、短信搜索——Android companion app 正在从一个"遥控器"变成一个"手机上的 Agent 终端"。
五、值得警惕的 Breaking Changes
如果你是 OpenClaw 用户,这几条务必注意:
最大的风险是插件生态的断层。 SDK 重构 + 消息发现接口变更,意味着社区里大量第三方插件需要适配。OpenClaw 团队这次选择了"硬切"而不是"渐进迁移",说明他们对新架构的信心很强,但也需要社区跟上。
六、写在最后
16 个 Breaking Change,几十项改进,几十位贡献者。
这个版本给我的感受是:OpenClaw 正在经历从"快跑"到"修路"的阶段。
早期产品追求功能多、跑得快。当用户量上来、生态开始形成,就必须停下来把路修好——标准化插件接口、加固安全边界、统一模型通道、清理历史遗留。
这是痛苦的,但这是正确的。
如果你正在评估 Agent 框架,2026.3.22 之后的 OpenClaw 值得重新审视。它已经不只是一个"能跑 Agent 的工具",它在变成一个能承载生态的平台。
至于这个平台最终能长多大,取决于两件事:ClawHub 上能不能长出足够多的优质插件,以及社区开发者愿不愿意跟着它一起重构。
我赌它行。
