耗时4小时、尝试20次后,我发现npm上最离谱的包
一个被空壳包诈骗的深夜
2026年3月15日凌晨,我想安装 OpenClaw。
然后经历了人生最荒诞的4小时。
第一步:卡住
npm install -g openclaw
依赖 @whiskeysockets/libsignal-node,需要从 GitHub 下载。
我的网络:❌
第二步:换镜像
npm config set registry https://registry.npmmirror.com
下载成功,安装时:还是去 GitHub。
第三步:force
npm install -g openclaw --force
失败。凌晨3点。
第四步:降级
npm view openclaw versions
好家伙,0.0.1 到 2026.3.13 都有!
npm install -g openclaw@0.0.1
安装成功!
第五步:反转
$ openclaw --help
'openclaw' 不是内部或外部命令
安装目录:
index.js (21 字节)
package.json (193 字节)
README.md (39 字节)
总计:253 字节
0.0.1 是个空壳!
总结
| ❌ | ✅ |
|---|---|
| 低估 GitHub 依赖的顽固性 | 使用淘宝镜像 |
| 没想到空壳包真的存在 | 尝试 --omit=optional |
| 熬夜伤身 | 及时放弃 |
成功安装的唯一途径
# 1. 连接到能访问 GitHub 的网络
# 2. 执行安装
npm install -g openclaw --omit=optional
# 3. 验证
openclaw --version
😢
有些墙,不是技术能解决的。
有些夜,注定是白熬的。
但至少,我们知道了 0.0.1 是个骗子。
本文由一个不愿透露姓名的受害者原创,发布于2026年3月15日凌晨
