夜雨聆风
#Obsidian #插件安全 #知识管理
长话短说
2026 年 5 月 12 日,Obsidian 正式发布全新的 Obsidian Community 站点和自动化插件审查系统。4,000+ 插件、120 百万次下载量的生态迎来最大规模的安全升级——每个版本自动扫描代码质量和安全漏洞,2,300 条排队提交在几天内清零。
4,000+
插件/主题
120M+
总下载量
2,300+
排队已清
先说说 Obsidian 是什么
如果你还没用过 Obsidian,可以把它理解为一个完全离线运行的私人笔记本。和你手机上随便记备忘录不同,Obsidian 里的每一篇笔记都以 Markdown 文件的形式存在你的电脑上,不依赖任何云端服务。笔记之间可以用双向链接互相引用,形成一张知识网络。
它的核心体验是:下载即用、免费、本地数据、可扩展。免费版满足绝大多数个人需求,付费版本主要面向团队协作和官方同步服务。
适合谁:写论文需要管理大量文献的学生、做知识整理和长期笔记的读者、用本地 Markdown 管理项目文档的开发者。
不适合谁:如果你只需要偶尔记几条备忘录,手机自带备忘录就够了;如果你需要多人同时在线协作编辑,Notion 或飞书文档可能更合适。
这次升级到底变了什么
Obsidian 这次做了三件事:新的社区站点、自动化审查、安全透明化。逐条说。
一:插件终于有了「正规目录」
以前装 Obsidian 插件,你得在设置里打开安全模式,然后浏览官方 GitHub 仓库列表。体验像「去 GitHub 翻 README」——能用,但难找、难比较。
现在有了 Obsidian Community 站点(community.obsidian.md),可以直接按分类浏览插件:集成类、文件类、编辑增强、自动化、图表……支持按下载量、热度、更新日期排序。每个插件都有独立页面,包含截图、详情和安全评分卡。
二:每个版本自动审查安全漏洞
这是最重要的变化。之前插件提交只做一次性的手动审查,后续版本更新不再复查。随着 AI 编码工具普及,插件提交量暴增,审查队列越来越长,安全漏洞风险也在累积。
现在系统会自动扫描每一个新版本,检查代码质量、已知安全漏洞、开发规范遵循情况,包括恶意软件扫描。开发者在 Dashboard 里能看到详细的检查建议和失败标记。
注意 手动审查不会取消,而是转向重点目标——热门插件、精选插件、社区举报的问题插件。自动化做的是「广覆盖」,人工做的是「深度排查」。
三:安全评分卡和透明度提升
● 每个插件公开显示自动化检查结果的安全评分卡
● 未来插件将声明访问能力范围:网络、文件系统、剪贴板等
● 通过额外验证的作者将获得「已验证」标签
这意味着装插件前你能看到它「能干哪些事」,而不是像以前只能信任开发者。
老用户现在需要做什么
▸ 如果你是普通用户 — 不用做任何事。插件安全审查是自动的,你装的插件不会受影响。以后装新插件时会看到安全评分卡,可以参考。
▸ 如果你是插件开发者 — 登录 community.obsidian.md 连接 GitHub 账号,认领你已有的插件/主题。提交新版本时,自动审查会在几分钟内出结果。
▸ 关于即将下架的插件 — 部分不满足新标准的老旧插件已获得临时豁免,但最终会从官方目录移除。没有明确截止日期,建议关注你常用插件的更新状态。
注意重要提醒
闭源插件不再接受新提交 — 已有的闭源插件仍然保留,但未来会被逐步清理。Obsidian 坚持开源审查。
Obsidian 账户是必需的 — 浏览不需要,但管理插件/提交需要注册账户并连接 GitHub(仅分享用户名和公开仓库列表)。
Obsidian 这次升级的核心意义是:随着插件生态从数千人用变成几百万人用,安全问题不能靠几个开发者的手动审查来解决。自动化审查 + 安全评分卡 + 能力披露,是向企业级软件生态的标准靠拢。对普通用户来说,最大的好处是装插件时心里有数——不再盲目信任。
SOURCES
Obsidian 官方博客 — The future of Obsidian plugins — obsidian.md/blog/future-of-plugins/
Obsidian Community 站点 — community.obsidian.md
Obsidian X 公告帖 — @obsdmd — x.com/obsdmd/status/205...
