夜雨聆风
上周,我一个朋友突然给我发微信:卧槽,你知道吗?OpenClaw有个漏洞,能把Windows电脑的密码泄露出去!
我当时的反应是:啥?真的假的?
然后他去搜了一下,发现是真的。v2026.3.22版本里,OpenClaw团队修复了Windows SMB凭证泄露的漏洞。还有Unicode隐藏文本攻击、设备配对认证问题……一共30多个安全补丁。
我当时的反应就是:这波更新,不简单。
2026年3月23日,OpenClaw v2026.3.22正式发布。
这是近几个月来最大的一次更新。12个破坏性变更、ClawHub上线、性能大幅提升、30+安全修复……
如果你用OpenClaw,这篇文章一定要看完。
最大的变化:ClawHub来了
以前安装OpenClaw插件用的是npm。现在变了:ClawHub成为默认的插件商店。
新的命令:
openclaw skills search—— 搜索技能openclaw skills install—— 安装技能openclaw skills update—— 更新技能
全部走ClawHub。而且Gateway后台也默认用ClawHub。
这对普通用户来说基本无感,但对插件作者来说意义重大——ClawHub现在是主要分发渠道了。
性能提升:冷启动从分钟级变成秒级
以前Gateway启动需要等好几分钟。现在呢?秒级启动。
而且支持48小时超长Agent会话。这意味着你可以让AI帮你干更长时间的活,中途不用重新启动。
新功能:一个比一个实用
/btw命令:问附加问题不丢失上下文。比如你让AI写了个报告,中间想问一句"我们刚才决定的是什么?"直接用/btw问,AI不会忘记之前的内容。
OpenShell沙箱:可插拔的安全沙箱。之前NVIDIA做NemoClaw用的就是同款技术。现在你也用上了。
Anthropic Vertex:支持在Google Cloud里跑Claude了。企业用户可以直接走Vertex AI,不用第三方插件。
模型更新:GPT-5.4成为默认
OpenAI:GPT-5.4成为默认模型(之前是GPT-5.2) MiniMax:M2.7正式支持 GLM:4.5、4.6、5-turbo全面支持
这意味着什么?AI更强了,更快了,也更便宜了。
但最关键的,是这30+安全补丁。
官方原文说:"如果你是OpenClaw用户,这是一次必须阅读的升级。"
具体包括:
Windows SMB凭证泄露漏洞 —— 已修复 Unicode隐藏文本攻击漏洞 —— 已修复 设备配对认证 —— 多处修复 webhook认证 —— 多处修复
这些漏洞如果被利用,可能会导致你的电脑被攻击、密码被盗。所以这次更新真的是保命级的。
升级前必须知道的破坏性变更
这次有12个破坏性变更,如果你不做好这些,可能直接挂掉:
第一,环境变量改了。 旧的CLAWDBOT_*和MOLTBOT_*全部移除,改用OPENCLAW_*。
第二,状态目录改了。 旧的~/.moltbot目录不再支持,需要迁移到~/.openclaw。
第三,Chrome扩展移除了。 relay模式没了,运行openclaw doctor --fix会自动迁移。
第四,插件SDK改了。 旧的openclaw/extension-api移除,作者需要迁移到新的子路径。
最后说两句。
我在归零Claw这个公众号里,一直在说AI工具怎么用、怎么落地。
这次更新说明了一件事:OpenClaw不只是要功能强大,还要安全。
30+安全补丁,不是闹着玩的。这是对用户负责。
你会升级到v2026.3.22吗?升级过程中有遇到问题吗?评论区聊聊 🐱
欢迎关注「归零Claw」,获取更多AI实战经验和行业洞察。一起探索OpenClaw的无限可能
