夜雨聆风时间范围:2026-03-17 - 2026-03-24
🔥 热门话题
1. "OpenClaw is a security nightmare dressed up as a daydream"
来源: Hacker News[1](来源文章:composio.dev) 时间: 2026-03-22 热度: 391 pts, 275 评论
摘要: composio.dev 发布长文《OpenClaw is a security nightmare dressed up as a daydream》,列举项目暴露的多类攻击面,包括插件沙盒逃逸、命令提前审批可绕过、提示注入传导风险等。文章在 HN 一度登上前三,引发安全研究者与 OpenClaw 维护者激烈讨论。维护者在评论区指出 2026.3.22 已集中修复 8 枚 CVE(见下方版本发布),但批评方认为修复节奏远落后于漏洞发现速度。此帖直接推动了 2026.3.23 内针对 CSP inline-script hash 和凭据刷新的追加安全修复。
2. OpenClaw GitHub 开发者钓鱼攻击(token-claw.xyz)
来源: GitHub Issue #49836[2] 及 HN 讨论[1] 时间: 2026-03-21 热度: 社区高度警惕,多位开发者确认收到
摘要: 攻击者伪造"OpenClaw Foundation"大量群发 GitHub 通知,声称空投 CLAW 代币,链接指向 token-claw.xyz 钱包连接页面。攻击精准批量抓取 GitHub stargzers/contributors 用户名。HN 与 Issue 讨论中留存了完整钓鱼路径描述。已在 #49836 汇报至 GitHub,请勿点击任何非官方 openclaw.ai 或 github.com/openclaw 域名链接。
3. CNBC:中国用户如何大规模采用 OpenClaw
来源: CNBC[3](HN 讨论[4]) 时间: 2026-03-18
摘要: CNBC 报道描述百度、腾讯、阿里云等平台将 OpenClaw 集成至企业产品的动向,并分析中国开发者与普通用户采用 OpenClaw 的驱动因素。本周 2026.3.22 正式加入 Qwen(阿里云 ModelStudio)标准 DashScope 端点(含国内与海外双版本),与报道同步印证了中国市场对接的优先级。
4. Ask HN: 有人真的在用 OpenClaw 吗?
来源: Hacker News[5] 时间: 2026-03-24 热度: 4 pts, 7 评论
摘要: 提问者表示虽然 OpenClaw 声称是目前 GitHub Star 最多项目,但他的社交圈里没有人真正在用。有回复者分析"GH Star 增长确实来自真实用户,只是高热度导致大量观望但不使用"。此问引出 OpenClaw 真实渗透率争论,与另一帖《OpenClaw's ChatGPT moment sparks concern that AI models are becoming commodities》呼应,后者指出模型层差异化消失后 OpenClaw 的护城河在哪。
5. 微信插件 @tencent-weixin/openclaw-weixin 与 2026.3.22+ 不兼容
来源: Issue #52885[6] 时间: 2026-03-23 热度: 20 评论(<18h 内爆发)
摘要: 升级至 2026.3.22 后微信官方插件集体失效,根因为插件 SDK 重构(openclaw/extension-api 已移除,需迁移至 openclaw/plugin-sdk/* 子路径)。随即 #53497 跟进报告 openclaw-weixin 1.0.3 在 2026.3.23-2 上报 plugin-sdk top-level barrel missing exports。目前无官方热修,微信用户面临暂停降级的选择。
6. Discord 多账号 gateway 启动卡死(v2026.3.22 Carbon reconcile 变更)
来源: Issue #53132[7] 时间: 2026-03-23 热度: 4 评论
摘要: 2026.3.22 将 Discord 原生 slash command 部署切换为 Carbon reconcile 默认,部分多账号 gateway 配置升级后卡在 awaiting gateway readiness 无法启动。已有用户提供复现步骤,尚无维护者确认响应。属 W12→W13 回归,建议多账号 Discord 配置暂缓升级到 2026.3.22+。
7. Reddit: Jake Benchmark — 7 款本地 LLM 跑 OpenClaw 的一周测试
来源: r/LocalLLaMA[8] 时间: 2026-03-23 热度: 22 votes, 18 评论
摘要: 作者用"Jake Benchmark"对 7 款本地可运行的 LLM(含 Llama 4 Scout/Maverick、Mistral 系列、Phi-4 等)测试其作为 OpenClaw agent 的工具调用能力,结论是大多数模型找不到 email 工具就止步了。仅 Llama 4 Maverick 与 Mistral Large 能完成多步 agent 任务。为需要本地模型 + OpenClaw 部署的用户提供了实测参考。
8. Reddit: "Claw-style agents: real workflow tool or overengineered hype?"
来源: r/LocalLLaMA[9] 时间: 2026-03-22 热度: 16 votes, 33 评论
摘要: 帖子引爆关于 OpenClaw/agent 框架是否过度工程化的争议。支持方举出具体落地场景(GitHub PR 自动分拣、Slack 工单摘要);反对方认为稳定性差、prompt injection 防护不足、出问题时难以调试。恰好撞上本周安全文章,两帖在 LocalLLaMA 社区形成共鸣。
9. 🔄(遗留)Docker 插件运行时 bundled files 消失问题
来源: Issue #46443[10] / 同组 #47401/#47411/#47260 时间: 2026-03-15 开启 → 2026-03-24 已修复
摘要: 本周 2026.3.23 正式修复此问题:fix: ship bundled plugin runtime sidecars like WhatsApp light-runtime-api.js, Matrix runtime-api.js, and other plugin runtime entry files in the npm package again。确认为 #46301 send-deps 改动导致的发布打包回归,Discord/Telegram/Matrix/WhatsApp 扩展全部受影响。可标记为已解决。
10. 🔄(遗留)Thinking Blocks Anthropic API 400 循环(Issue #24612)
来源: Issue #24612[11] 时间: 2026-02-23 开启,持续
摘要: 2026.3.13 recovery release 中包含 fix(agents): drop Anthropic thinking blocks on replay(PR #44843),修复了 replay 路径下 thinking blocks 残留导致后续 turn 400 的子集场景。但原 issue 描述的 resolveTranscriptPolicy preserveSignatures 根因 + auto-recovery 循环(Issue #44679 + PR #22270 未合并)问题尚未提及已关闭。本周无进展,继续跟踪。
11. MCP 工具绕过 allow/deny 策略过滤
来源: Issue #53504[12] 时间: 2026-03-24 热度: 1 评论(今日开启)
摘要: 报告者发现 MCP 注册的工具可完全绕过 tools.subagents.tools.allow/deny 过滤策略,仅通过 subagent 调用即可执行被明确拒绝的工具。这是一个潜在的安全边界问题,恰逢安全文章引发的高度关注而爆炸性被翻出,预计将获得维护者快速响应。
12. Proposal: TASTE.md — workspace 人类偏好标准文件
来源: Issue #53442[13] 时间: 2026-03-24
摘要: 提案希望在 OpenClaw 生态中引入一个标准化文件 TASTE.md,用于在 workspace 层记录使用者的代码风格、沟通偏好、价值观等"品味",供 agent 无需每次在 system prompt 中重复。与 AGENTS.md/CURSOR_RULES 等现有规范互补。尚处讨论阶段,本周有一条评论表达支持。
🚀 新功能 / 已合并 PR
13. feat(memory): 标题感知内存分块选项
来源: PR #51913[14] 时间: 2026-03-22 开启 热度: 17 评论,进度 100%
摘要: 新增 memory.headingAwareChunking 选项,按文档标题边界切分(而非固定 token 数),改善含多级标题的长文档、代码注释文档的检索相关性。XS 规模 PR,任务已完成,待合并。
14. PR #53499: 新增中文 README(CREATE README_CN.md)
来源: PR #53499[15] 时间: 2026-03-24 热度: 15 评论(进度 20%)
摘要: 社区贡献者 webzol 提交中文版 README,覆盖安装、配置、频道对接等主要内容。进度尚早,reviewer 反馈翻译质量与内容同步问题。此 PR 也反映了中文用户群体规模增大的现实。
15. Show HN: agent-ruler — 本地确定性 OpenClaw 安全沙盒
来源: HN[16] | GitHub[17] 时间: 2026-03-21 热度: 4 pts, 8 评论
摘要: 个人作者 steadeepanda 为 OpenClaw 开发了轻量确定性安全控制层,无 AI 层,纯规则驱动,支持边界审批(Tailscale 手机推送)、跨边界时弹出可视化请求。当前仅支持 Linux + Telegram Channel。作者明确表示希望测试 prompt injection 防御能力,正好契合本周安全议题热潮。
📦 版本发布
2026.3.23(Latest Stable)
发布时间: 2026-03-24 类型: Stable 发布链接: v2026.3.23[18] 贡献者: 16 人;反应数 120+
安全修复:
- • CSP/Control UI: 为
index.html中的内联<script>块计算 SHA-256 hash 并注入script-src,保持内联脚本默认封锁(#53307[19]) - • Diagnostics/cache trace: 剥离 cache-trace JSONL 中的凭据字段,保留非敏感诊断字段
新功能/亮点:
- • ModelStudio/Qwen: 新增 DashScope 国内+全球标准端点(pay-as-you-go),Provider 组重命名为
Qwen (Alibaba Cloud Model Studio)(#43878) - • UI/Knot 主题: 黑红配色 WCAG 2.1 AA 对比度,圆角改为离散档位,aria-label 无障碍补全(#53272)
- • Plugins/bundled runtimes: 修复 Docker/npm 全局安装后 plugin runtime 文件丢失问题(WhatsApp、Matrix、Discord 等 bundled sidecar 恢复打包)
- • Auth/OpenAI tokens: 修复 gateway 写入 auth-profile 覆盖刚保存的新 token 问题(#53207 / #45516)
- • Browser/Chrome MCP: 等待会话就绪后再 attach,减少 macOS Chrome 的重复 consent 弹出(#52930 / #53004)
- • ClawHub/macOS auth: 修复 macOS Application Support 路径的 ClawHub token 读取(#52949)
- • CLI/cron:
--at --tzDST 边界处理修复(#53224) - • Gateway/OpenRouter: 修复
openrouter/auto定价递归无限循环(#53035)
2026.3.22(Stable — 本周最大版本)
发布时间: 2026-03-23 类型: Stable 发布链接: v2026.3.22[20] 贡献者: 120+ 人;反应数 200+(148 👍)
⚠️ Breaking Changes(迭代风险高):
- •
openclaw plugins install <pkg>现优先 ClawHub,npm 降为 fallback - • Chrome 浏览器扩展中继路径完全移除(需运行
openclaw doctor --fix迁移) - •
nano-banana-pro技能移除,统一用agents.defaults.imageGenerationModel - • Plugin SDK 从
openclaw/extension-api迁移至openclaw/plugin-sdk/*子路径(无兼容 shim) - • Matrix 插件重写(基于官方
matrix-js-sdk,需按迁移指南操作) - •
CLAWDBOT_*/MOLTBOT_*环境变量全部移除 - •
~/.moltbot状态目录不再自动迁移 - • 执行环境沙盒:封锁
MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS、GLIBC_TUNABLES、DOTNET_ADDITIONAL_DEPS等构建工具 JVM/CLR 注入向量(#49702)
安全修复(8 枚 GHSA):
| GHSA | 描述 |
|---|---|
| GHSA-99qw-6mr3-36qr | 禁用隐式 workspace 插件自动加载,防止克隆仓库执行任意插件代码 |
| GHSA-pcqg-f7rg-xfvv | 审批提示中对零宽 Unicode 格式字符转义,防止命令欺骗显示 |
| GHSA-9r3v-37xh-2cf6 | exec 检测路径也对零宽/全角混淆字符正规化 |
| GHSA-f8r2-vg7x-gh8m | 保持 allowlist POSIX 大小写敏感 + ? 限制在单路径段 |
| GHSA-r7vr-gr74-94p8 | /config / /debug 命令改为仅 owner 可用 |
| GHSA-rqpp-rjj8-7wv8 | 清除 WebSocket 客户端自声明的未绑定 scope |
| GHSA-vmhq-cqm9-6p7q | 阻止 browser.request 持久化创建/删除浏览器 profile |
| GHSA-2rqg-gjgv-84jm | 拒绝公网 spawned-run lineage 字段注入 |
| GHSA-wcxr-59v9-rxr8 | sandbox subagent 不得读父会话元数据或写模型覆盖 |
新功能/亮点:
- • ✅ ClawHub 原生 CLI:
openclaw skills search|install|update/openclaw plugins install clawhub:<package> - • ✅ Claude Marketplace 集成:
plugin@marketplace安装支持(#48058) - • ✅ 默认 OpenAI 模型升级至 (Codex 保持
openai-codex/gpt-5.4) - • ✅ Per-agent thinking/reasoning/fast 配置默认值
- • ✅ 可插拔沙盒后端 + OpenShell(/ workspace 模式)+ SSH 沙盒后端
- • ✅ Chrome MCP 附加任意 Chromium 内核浏览器(Brave/Edge via
userDataDir,#48170) - • ✅ 三大 Web 搜索插件新上线: Exa、Tavily、Firecrawl(各自独立 tool 名)
- • ✅ Chutes AI provider 插件(OAuth/API-key,#41416)
- • ✅ Anthropic Vertex AI 原生支持(
anthropic-vertexprovider,#43356) - • ✅
/btw命令:不影响会话上下文的快速边问题 - • ✅ Kubernetes 部署文档(K8s manifests + Kind 快速安装)
- • ✅ Control UI 聊天气泡新增"展开为 Canvas"按钮
2026.3.13(Recovery Release)
发布时间: 2026-03-18(约) 类型: Stable(恢复发布) 发布链接: v2026.3.13-1[21] 贡献者: 37 人
背景: v2026.3.13 标签/Release 因 GitHub 不可变 Release 限制无法复用,故用 v2026.3.13-1 标签发出,npm 版本仍为 2026.3.13。
安全修复(本周新增确认):
- • iMessage/remote attachments: 拒绝不安全的远程附件路径,防止 sender 控制的文件名注入 shell 元字符
- • Telegram/webhook auth: 在读取请求体之前先验证 Telegram webhook secret(防止 1 MB 预读滥用)
- • Security/device pairing: 设备配对 bootstrap code 改为一次性使用,防止 replay 静默扩权
- • Security/external content: 剥离零宽/软连字符分隔符,防止
EXTERNAL_UNTRUSTED_CONTENTmarker 伪造 - • macOS exec approvals: 多项 pnpm/Perl/PowerShell/env 包装形式的 exec approval 失闭修复
功能亮点:
- • Android 聊天设置 UI 重新设计(组分式布局)
- • iOS 首次运行欢迎 pager
- • Chrome DevTools MCP 官方 attach 模式(
chrome://inspect/#remote-debugging) - • Docker
OPENCLAW_TZ时区覆盖支持
🗓 本周发版节律
| 版本 | 类型 | 日期 | 亮点 |
|---|---|---|---|
| 2026.3.13-1 | Stable(Recovery) | ~2026-03-18 | 修复 2026.3.13 损坏 tag,补安全修复和 Chrome MCP |
| 2026.3.13-beta.1 | Pre-release | ~2026-03-17 | Android/iOS/Browser/Windows 修复集 |
| 2026.3.22-beta.1 | Pre-release | 2026-03-23 | 同 2026.3.22 内容 |
| 2026.3.22 | Stable | 2026-03-23 | 巨型版本:8 CVE + ClawHub CLI + gpt-5.4 默认 + 三大搜索插件 |
| 2026.3.23 | Stable | 2026-03-24 | CSP hash + Qwen ModelStudio + Plugin runtime 打包修复 |
📊 本周共 5 次发布(3 stable + 2 pre-release),发布节奏极高(平均每 1.5 天一版);2026.3.22 是近期最大版本(120+ 贡献者,多个 breaking change,9 枚安全修复)。
📊 数据概览
| 维度 | 数据 |
|---|---|
| GitHub 活跃 Issues | 9,095 open(+13,151 closed);本周新增数十条 |
| GitHub PRs 动态 | 6,055 open(400 页),本周 2026.3.22/2026.3.23 合并大量 PR |
| HN 最热讨论 | "OpenClaw is a security nightmare..."(391 pts, 275 评论) |
| Reddit 最热 | "Claw-style agents: real or hype?"(33 评论);Jake Benchmark(18 评论) |
| 本周核心主题 | Plugin SDK 重构兼容性 · 安全审查升温 · ClawHub 生态化 · 中国市场对接 |
| 版本里程碑 | 2026.3.22 = 迄今贡献者最多单版本(120+) |
🔬 深入分析
深入 1:2026.3.22 Plugin SDK 迁移 — 对第三方插件(含微信)的实际影响范围
1. 📋 背景与问题描述
2026.3.22 将 OpenClaw 插件的公开 SDK 接口从 openclaw/extension-api(旧)迁移至 openclaw/plugin-sdk/*(新),并没有提供任何兼容层(no compatibility shim)。这意味着所有依赖旧路径的第三方插件,在升级至 2026.3.22 后会立即崩溃。
官方的迁移说明藏在 Release Notes 的 Breaking Changes 一行:
"The new public plugin SDK surface is ; is removed with no compatibility shim. Bundled plugins must use injected runtime for host-side operations and any remaining direct imports must come from narrow subpaths instead of the monolithic SDK root."
第一个"爆雷"是微信官方插件 @tencent-weixin/openclaw-weixin(Issue #52885[6],18 小时内 20 条评论),随后 #53497[22] 跟进确认 Feishu 插件也受影响。
2. 🛠 技术细节:两个独立的根因
社区通过 Issues #52885 和 #53497 确认了两个独立 Bug叠加:
Bug 1:SDK 顶层 barrel 被裁剪(主因)
旧版 openclaw/plugin-sdk 的顶层 index.js 会把所有运行时函数全部 re-export。2026.3.22 重构后,dist/plugin-sdk/index.js 仅保留极少量类型级导出,大量运行时函数被移到子路径。第三方插件从顶层导入时会直接报 Cannot find module 或 undefined 导出。
新的函数→子路径映射表(从 Issue #52885 社区整理):
| 旧导入来源(顶层或 extension-api) | 新导入子路径 |
|---|---|
resolvePreferredOpenClawTmpDir, withFileLock | openclaw/plugin-sdk/infra-runtime |
normalizeAccountId | openclaw/plugin-sdk/account-id(或 /core) |
buildChannelConfigSchema | openclaw/plugin-sdk/channel-config-schema |
createTypingCallbacks | openclaw/plugin-sdk/channel-runtime |
resolveSenderCommandAuthorizationWithRuntime, resolveDirectDmAuthorizationOutcome | openclaw/plugin-sdk/command-auth |
stripMarkdown | openclaw/plugin-sdk/text-runtime |
stringEnum | openclaw/plugin-sdk/core(见 Issue #52902) |
Bug 2:全局安装插件的 解析失效(放大因)
插件安装目录为 ~/.openclaw/extensions/<plugin>/,其中没有本地 node_modules/openclaw。Node.js 依赖"向上级目录 walk-up"找到全局安装的 openclaw 包,但这在以下场景下会失败:
- • Windows(跨盘符或权限隔离)
- • 某些全局 npm 安装路径结构(非标准)
- • jiti/bundler 路径解析器未配置正确的 search root
Feishu 官方插件 openclaw-lark 已意识到这个架构缺陷,改为在包内捆绑一份自己的 openclaw 副本(作为 workaround)。
3. ⚙️ 当前可用缓解方案(无官方修复)
方案 A:symlink(社区用户 ark930 验证,macOS/Linux)
# 在插件目录内建立 openclaw 的软链接
mkdir -p ~/.openclaw/extensions/openclaw-weixin/node_modules
ln -s $(npm root -g)/openclaw ~/.openclaw/extensions/openclaw-weixin/node_modules/openclaw然后手动修改插件源码中的 import 路径,参照上方映射表。
方案 B:在插件目录内重新安装依赖
cd ~/.openclaw/extensions/openclaw-weixin
npm install这会在本地建立 node_modules,让 Node.js 解析 openclaw 时走本地路径,绕开 Bug 2(但 Bug 1 仍需插件作者发布新版本才能彻底修复)。
方案 C(最稳定):回退 openclaw 主版本
npm install -g openclaw@2026.3.132026.3.13 是目前兼容微信插件的最后一个稳定版本。此方案代价是失去 2026.3.22 的所有安全修复(9 枚 GHSA)。
4. 💡 核心观点与结论
- 1. 根因是意图性的,代价是现实的:2026.3.22 这次迁移是蓄意的架构清理(去除遗留 API,推进更窄、更有意图性的 SDK 接口)。官方文档中有 Migration Guide(sdk-migration[23]),但并未配合兼容 shim 或版本锁定支持,导致大量插件作者在毫无预警的情况下被迫同步更新。
- 2. 没有 shim 是刻意决策,也是最大争议点:从过去几个大版本(如 2026.3.x 系列)的发布节奏来看,核心团队偏向"break early, fix fast"策略。但微信插件是由腾讯官方团队维护的,上游响应周期与 OpenClaw 发版节奏不同步,导致 v2.0.1 发布后仍然因为 子路径缺失而崩溃。这是纯粹的协调失败。
- 3. 的 bundle 策略是"毒药":Feishu 插件选择把 openclaw 整体 bundle 进去的方案,虽然解了单次升级问题,却带来包体积膨胀、版本双轨等长期问题——是一种技术债累积的 workaround。
- 4. Windows 用户受双重打击:Bug 1(barrel 裁剪)+ Bug 2(walk-up 解析失败在 Win 上更普遍)叠加,Windows 平台微信插件用户几乎 100% 受影响,且 symlink 方案在 Windows 上需要管理员权限。
5. 👥 影响人群与范围
| 群体 | 影响程度 |
|---|---|
| 微信(WeChat)插件用户 | 🔴 严重;唯一稳定解是降级 |
| Feishu 插件用户 | 🟠 中等;部分场景受影响,待确认 |
| Discord / Telegram 插件用户 | 🟢 基本不受影响(bundled 插件由核心团队同步维护) |
| 自行开发第三方插件的开发者 | 🟠 中等;需手动迁移 import 路径 |
| 中国市场用户(微信/Feishu 为主渠道) | 🔴 直接打击最核心渠道,恰逢 CNBC 报道中国采用率上升 |
6. 📈 当前状态
- • Issue #52885:Open,20 评论,无官方维护者 fix 承诺
- • Issue #53497:Open,社区定位两个根因,暂无官方 PR
- • 微信插件 v2.0.1:已发布,但仍 broken(
Cannot find module 'openclaw/plugin-sdk/channel-config-schema') - • 官方 SDK Migration Guide:存在(docs[23]),但社区认为说明不够清晰
- • 预期解法方向:在
dist/plugin-sdk/index.js中补回 re-export + 修复 jiti resolver search path
7. 🔗 资源链接
- • Issue #52885(微信插件兼容性主帖):https://github.com/openclaw/openclaw/issues/52885
- • Issue #53497(SDK barrel 根因分析):https://github.com/openclaw/openclaw/issues/53497
- • 官方 SDK 迁移指南:https://docs.openclaw.ai/plugins/sdk-migration
- • 官方 SDK 概览:https://docs.openclaw.ai/plugins/sdk-overview
深入 2:2026.3.22 的 9 枚 GHSA 安全漏洞 — 根因与修复验证
1. 📋 背景与问题描述
2026.3.22 Release Notes 中列明了 9 枚 GHSA(GitHub Security Advisory)编号漏洞修复,这在 OpenClaw 的历史版本中属于单版本安全修复量最高的一次。
同日(2026-03-22),composio.dev 发布长文《OpenClaw is a security nightmare dressed up as a daydream》在 HN 登上前三(391 pts, 275 评论)。这场"修复日"与"批评日"的时间重叠并非巧合——几乎可以确认:安全研究者在负责任披露流程完成后,与发版节奏协调了文章发布时机。
此外,2026.3.13(Recovery Release)和 2026.3.23 中还有若干未编 GHSA 号但性质等同的安全修复,本节一并分析。
2. 🛠 漏洞分类分析
类别 A:Exec 审批欺骗(GHSA-pcqg-f7rg-xfvv、GHSA-9r3v-37xh-2cf6、GHSA-f8r2-vg7x-gh8m)
这类漏洞的核心手法:让恶意命令在 UI 中伪装成无害文本,骗过用户点击"允许"。
- •
GHSA-pcqg-f7rg-xfvv:审批提示中插入零宽 Unicode 格式字符(如 U+200B、U+FEFF、韩文空格填充符 Hangul Filler)可使rm -rf /在视觉上显示为ls -la。修复:对所有审批提示字符串进行 Unicode 格式字符转义。 - •
GHSA-9r3v-37xh-2cf6:exec 路径解析中对全角 ASCII、混淆同形字(Confusables)不做正规化,攻击者可用视觉上看起来像/usr/bin/ls的路径绕过 allowlist 检测。修复:exec 路径检测统一 Unicode 正规化。 - •
GHSA-f8r2-vg7x-gh8m:exec allowlist 的 glob 匹配在 Windows 触发大小写不敏感,且?通配符可越过路径段边界,允许?cmd.exe匹配\cmd.exe。修复:强制 POSIX 大小写敏感 +?限制在单路径段。
类别 B:权限提升(GHSA-r7vr-gr74-94p8、GHSA-rqpp-rjj8-7wv8)
- •
GHSA-r7vr-gr74-94p8:对话中/config、/debug命令原本对任何能发送消息的用户可见,攻击者可用来读取 gateway 配置或触发诊断输出。修复:改为 owner-only 命令。 - •
GHSA-rqpp-rjj8-7wv8:WebSocket 客户端在握手时可以自声明 scope(如admin、secrets),gateway 此前未校验这些 scope 是否有对应的 device-bound 授权。修复:清除自声明的未绑定 scope,设备身份认证后方可获升级 scope。
类别 C:浏览器面(GHSA-vmhq-cqm9-6p7q)
- •
GHSA-vmhq-cqm9-6p7q:browser.requestAPI 被插件或外部触发时,可持久化地创建或删除浏览器 Profile(含 UserDataDir),攻击者可借此横向移动或持久化后门 Profile。修复:通过nodeHost.browserProxy.allowProfilesallowlist 约束可操作的 Profile。
类别 D:Agent 隔离边界(GHSA-2rqg-gjgv-84jm、GHSA-wcxr-59v9-rxr8)
- •
GHSA-2rqg-gjgv-84jm:外部触发的 spawned-run(如 webhook 入站)可在 lineage 字段中注入任意会话 ID,伪装成内部 agent 的子 Run,绕过 origin 检查。修复:拒绝公网触发的 spawned-run lineage 字段注入。 - •
GHSA-wcxr-59v9-rxr8:sandbox 中的 subagent 可通过 SDK 读取父会话元数据(含 agent 配置、用户 token)或写入模型覆盖(如在 sandbox 里改成更强的claude-opus),实现 sandbox 逃逸级别的权限提升。修复:sandbox subagent 强隔离,禁止读父会话元数据、写模型覆盖。
类别 E:隐式插件加载(GHSA-99qw-6mr3-36qr)—— 最严重
- •
GHSA-99qw-6mr3-36qr:OpenClaw 以前会从 workspace 目录及其父目录自动发现并加载openclaw.plugin.json文件,即使用户没有明确plugins install。这意味着:只要攻击者让开发者git clone一个含有恶意 openclaw.plugin.json 的仓库,OpenClaw 的下一次启动就会自动执行恶意插件代码。这是一个供应链级别的代码执行漏洞,在 AI 开发工具生态中风险极高。修复:禁用隐式 workspace 插件自动加载,改为必须显式 install。
附加安全修复(无 GHSA 编号)
| 修复项 | 类型 |
|---|---|
Windows file:///UNC 路径媒体 URL 拦截(RacerZ-fighting 报告) | SSRF(Windows SMB 凭据劫持) |
| DNS-SD/Bonjour 服务发现 fail-closed(nexrin 报告) | 服务发现 SSRF |
jq 从 safe-bin 移除(jq -n env 可 dump 主机 secrets) | 信息泄露 |
| Nostr DM:加密前先走 policy,pre-crypto 速率/大小限制 | 未授权 bypass + CPU 滥用 |
Synology Chat:DM 绑定稳定 user_id,非用户名 | 账户混淆 |
| Feishu webhook:常量时间签名验证 | Timing side-channel |
| macOS exec HMAC:timing-safe 比较 | Timing side-channel |
| iOS pairing code:一次性使用 + role 约束 | Replay 攻击 |
GHSA-7jrw-x62h-64p8:device.token.rotate deny 处理强化 | 权限提升 |
| iMessage 远程附件路径:拒绝 shell 元字符 | 命令注入 |
3. 💡 根因模式总结
这 9 枚 GHSA 的根本问题可归结为 3 个系统性缺陷:
- 1. 信任边界模糊:OpenClaw 的核心设计——代替用户执行命令——天然产生"AI 决策 → 主机 exec"的信任链。任何能影响这条链上下文的输入(Unicode 字符、glob 字符、WebSocket claims、lineage 字段)都是潜在的注入向量。
- 2. 防呈现 ≠ 防语义:攻击者不需要注入恶意二进制,他们只需要让"人类看到A,系统执行B"(Unicode spoofing 系列),或者让"请求看起来来自内部,系统给予内部权限"(WebSocket scope、lineage 注入)。
- 3. 沙盒边界不完整:sandbox subagent 可以横向读取父 session、写覆盖——说明 subagent 的资源访问沙箱在设计时对"同进程内的 API"没有做完整的权限模型,而不是仅仅依赖 OS 级别的进程隔离。
4. 👥 影响人群与修复状态
| 漏洞 | 修复版本 | 影响场景 |
|---|---|---|
| GHSA-99qw-6mr3-36qr(隐式插件加载) | 2026.3.22 | git clone 任何含 openclaw.plugin.json 的仓库 |
| GHSA-pcqg-f7rg-xfvv / -9r3v(Unicode spoofing) | 2026.3.22 | 对话中有外部可控内容触发 exec 审批 |
| GHSA-f8r2-vg7x-gh8m(glob bypass) | 2026.3.22 | Windows 用户 + 跨段 ? 通配符 |
| GHSA-r7vr-gr74-94p8(chat cmd privilege) | 2026.3.22 | 任何能发送 bot 消息的群组成员 |
| GHSA-rqpp-rjj8-7wv8(WS scope claim) | 2026.3.22 | WebSocket 接入的 Control UI / API 客户端 |
| GHSA-vmhq-cqm9-6p7q(browser profile) | 2026.3.22 | 有 browser 节点的部署 |
| GHSA-wcxr-59v9-rxr8(sandbox subagent) | 2026.3.22 | 任何启用 sandbox subagent 的用户 |
| Windows SMB SSRF(无 GHSA) | 2026.3.22 | 处理外部图片/媒体 URL 的 Win 部署 |
如果你目前仍在 2026.3.13 或以下版本,上述漏洞全部未修复。但如果因微信插件兼容问题回退到 2026.3.13,则面临"安全 vs 兼容性"的真实取舍。官方暂无回退兼容 patch 的表态。
5. 📈 当前状态
- • 9 枚 GHSA 均已在 2026.3.22 中修复(2026-03-23 发布)
- • 2026.3.23(2026-03-24)补充修复了 CSP inline-script hash 和凭据缓存问题
- • MCP 工具绕过 allow/deny 策略(Issue #53504)是本周新暴露的、尚未修复的安全边界问题
- • composio.dev 文章的高热度讨论预计会继续推动团队的安全修复节奏
6. 🔗 资源链接
- • 2026.3.22 Release Notes(含完整 GHSA 列表):https://github.com/openclaw/openclaw/releases/tag/v2026.3.22
- • composio.dev 安全文章(HN):https://news.ycombinator.com/item?id=47479962
- • MCP 政策绕过(未修复):https://github.com/openclaw/openclaw/issues/53504
深入 3:ClawHub vs Claude Marketplace vs npm — 生态路线分叉的含义
1. 📋 背景与问题描述
2026.3.22 同时上线了两个新的插件/技能分发渠道:
- 1. ClawHub 原生集成(
openclaw skills search|install|update,openclaw plugins install clawhub:<pkg>) - 2. Claude Marketplace 支持(
plugin@marketplace安装,PR #48058)
更重要的是,2026.3.22 修改了默认安装行为:
"bare now prefers ClawHub before npm for npm-safe names, and only falls back to npm when ClawHub does not have that package or version."
这意味着:npm 被从默认首选降级为 fallback,ClawHub 成为新的默认插件分发入口。这是 OpenClaw 生态的一个拐点,影响深远。
2. 🛠 三方生态架构解析
ClawHub(clawhub.ai)
ClawHub 是 OpenClaw 技能(Skills)和插件(Plugins) 的公开注册表:
- • 技能(Skills)=
SKILL.md驱动的结构化指令包(无代码,纯指令),供 agent 执行特定工作流 - • 插件(Plugins)= npm-format 的 OpenClaw 插件包,含运行时代码、渠道扩展等
关键特性:
- • 向量搜索(
openclaw skills search "calendar"能语义匹配) - • 版本管理(semver + tag,如
latest) - • 社区信号(stars、使用量、举报/审核)
- • 锁文件追踪(
.clawhub/lock.json),支持update --all - • 防滥用措施:GitHub 账号龄 ≥ 1 周才可发布;≥3 举报自动隐藏;版主审核
Claude Marketplace
从 PR #48058 的描述来看,Claude Marketplace 是 Anthropic 维护的插件/Bundle 注册表,支持:
- •
openclaw plugins install <name>@marketplace语法直接从 Claude 市场安装 - • Marketplace bundle 安装(Codex、Claude、Cursor 等官方 bundle)
- • Docker E2E coverage(意味着 Claude Marketplace 安装路径已完成集成测试)
目前信息有限:Claude Marketplace 的内容审核标准、发布权限、与 ClawHub 的内容重叠程度均未公开说明。从 PR 语义推断,其定位更接近"Anthropic 官方策展的精选集",类似于 App Store Featured 区域。
npm(降级为 fallback)
npm 从"默认"降为"备用"体现了核心团队的明确态度:
- • 原始 npm 包不经任何 OpenClaw-specific 审查就能执行插件代码
- • 任何人都可以发布
openclaw-xxx包并被openclaw plugins install openclaw-xxx安装 - • 这是一个供应链攻击面,ClawHub 的基本发布限制(账号龄 + 社区举报)提供了最低限度的摩擦
3. 💡 分叉的深层含义
含义 1:生态入口的重新中心化
OpenClaw 核心团队正在通过默认行为(ClawHub-first)将生态的发现/分发入口从分散的 npm 拉进自己可以直接影响的平台。这在商业上合理(提升 ClawHub 流量,掌握插件生态数据),在安全上也有一定合理性(至少有最低门槛)。
类比:这是 VS Code 做的事——VSX 扩展市场 vs npm 包,Marketplace 成为实际标准,npm 退为原始后端。
含义 2:三方共存 = 短期碎片化
目前安装语法已经有至少三种:
openclaw plugins install openclaw-weixin # → 先找 ClawHub,fallback npm
openclaw plugins install clawhub:openclaw-weixin # → 强制 ClawHub
openclaw plugins install openclaw-weixin@marketplace # → Claude Marketplace插件作者现在面临决策:在哪里发布?各渠道的版本是否一致?用户如何知道用哪条命令?三个渠道的版本漂移(drift)是未来 1-2 个月内最可能引发用户困惑的地方。
含义 3:ClawHub vs Claude Marketplace 的隐性竞争
ClawHub 是社区开放注册表,任何人发布,公开审核——偏向 long-tail 生态。
Claude Marketplace 是 Anthropic 策展集,偏向官方背书的精选——偏向优质/可信插件。
最可能的稳定态格局:
- • Claude Marketplace = "官方精选"tier(高信任、高可见度、Anthropic 审核)
- • ClawHub = "社区开放"tier(快速迭代,长尾插件,搜索驱动发现)
- • npm = "开发者直通"tier(CI/CD 场景,自托管,私有插件)
但如果两个官方渠道(ClawHub / Claude Marketplace)的内容定位不清晰,可能引发开发者"在哪里发布才算认可"的焦虑,类似早年 Linux 发行版生态的碎片化。
含义 4:Skills vs Plugins 的概念分层
这次同时推出 skills 和 plugins 两套 CLI 语义是有意为之的:
- •
skills= 无代码指令集(SKILL.md 驱动),任何人都可以发布,无安全风险 - •
plugins= 有代码,需要运行时执行,安全风险高
ClawHub 同时服务两层,但风险属性完全不同。核心团队将 skills 的发现/分发独立出 openclaw skills 命令族,是在为未来 "sandboxed skill store"(技能不执行任意代码)和"trusted plugin store"(插件需要更严格审查)创造分离基础。
4. ⚙️ 当前实际状态
- • ClawHub 已上线,可用(clawhub.ai,
npm i -g clawhub发布 CLI) - • Claude Marketplace 支持已合并(PR #48058),
@marketplace安装语法可用 - • npm fallback 仍保留,短期内两种路径并存
- • 2026.3.23 中已修复 ClawHub macOS auth token 读取路径问题(
#52949) - • 仍缺失:ClawHub vs Claude Marketplace 的内容重叠/冲突策略、版本一致性保证、插件签名/代码审查机制
5. 👥 影响人群
| 角色 | 影响 |
|---|---|
| 插件作者(npm 已发布) | 需决定是否迁移/同步发布到 ClawHub;bare install 默认行为变化可能导致"npm only"插件的安装失败或版本不一致 |
| 技能文件作者(SKILL.md 类) | ClawHub 技能发布是新功能,有助于提升技能的发现度;影响整体正向 |
| 企业自托管用户 | ClawHub-first 默认可能在内网环境造成意外的外网依赖;可通过 CLAWHUB_REGISTRY 环境变量覆盖 |
| 普通用户(无开发背景) | 短期受益(skills search 更直观);长期受益于审核摩擦降低风险 |
6. 📈 预测
- • 未来 1-2 个月:ClawHub vs npm 安装优先级的实际表现将暴露版本漂移问题;预期新 Issue 出现
- • 3-6 个月:Claude Marketplace 内容策略可能更清晰,或与 ClawHub 形成明确分工
- • 关键指标可观察:ClawHub 上插件数量增长(现阶段极早期),
@marketplace安装量,与 npm 下载量的对比趋势
7. 🔗 资源链接
- • ClawHub 官方 Docs:https://docs.openclaw.ai/tools/clawhub
- • ClawHub 官网:https://clawhub.ai
- • Claude Marketplace 集成 PR #48058:https://github.com/openclaw/openclaw/pull/48058
- • 2026.3.22 Breaking Change(ClawHub-first):https://github.com/openclaw/openclaw/releases/tag/v2026.3.22
引用链接
[1] Hacker News: https://news.ycombinator.com/item?id=47479962
[2] GitHub Issue #49836: https://github.com/openclaw/openclaw/issues/49836
[3] CNBC: https://www.cnbc.com/2026/03/18/china-openclaw-baidu-tencent-ai.html
[4] HN 讨论: https://news.ycombinator.com/item?id=47446040
[5] Hacker News: https://news.ycombinator.com/item?id=47486885
[6] Issue #52885: https://github.com/openclaw/openclaw/issues/52885
[7] Issue #53132: https://github.com/openclaw/openclaw/issues/53132
[8] r/LocalLLaMA: https://www.reddit.com/r/LocalLLaMA/comments/1s1oaid/jake_benchmark_v1_i_spent_a_week_watching_7_local/
[9] r/LocalLLaMA: https://www.reddit.com/r/LocalLLaMA/comments/1s0nchk/clawstyle_agents_real_workflow_tool_or/
[10] Issue #46443: https://github.com/openclaw/openclaw/issues/46443
[11] Issue #24612: https://github.com/openclaw/openclaw/issues/24612
[12] Issue #53504: https://github.com/openclaw/openclaw/issues/53504
[13] Issue #53442: https://github.com/openclaw/openclaw/issues/53442
[14] PR #51913: https://github.com/openclaw/openclaw/pull/51913
[15] PR #53499: https://github.com/openclaw/openclaw/pull/53499
[16] HN: https://news.ycombinator.com/item?id=47466968
[17] GitHub: https://github.com/steadeepanda/agent-ruler/
[18] v2026.3.23: https://github.com/openclaw/openclaw/releases/tag/v2026.3.23
[19] #53307: https://github.com/openclaw/openclaw/pull/53307
[20] v2026.3.22: https://github.com/openclaw/openclaw/releases/tag/v2026.3.22
[21] v2026.3.13-1: https://github.com/openclaw/openclaw/releases/tag/v2026.3.13-1
[22] #53497: https://github.com/openclaw/openclaw/issues/53497
[23] sdk-migration: https://docs.openclaw.ai/plugins/sdk-migration
