OpenClaw 动态摘要 - 2026-W13

程序员柒叔
3 阅读1分钟

📰 OpenClaw 动态摘要 - 2026-W13

时间范围:2026-03-17 - 2026-03-24

🔥 热门话题

1. "OpenClaw is a security nightmare dressed up as a daydream"

来源: Hacker News(来源文章:composio.dev) 时间: 2026-03-22 热度: 391 pts, 275 评论

摘要: composio.dev 发布长文《OpenClaw is a security nightmare dressed up as a daydream》,列举项目暴露的多类攻击面,包括插件沙盒逃逸、命令提前审批可绕过、提示注入传导风险等。文章在 HN 一度登上前三,引发安全研究者与 OpenClaw 维护者激烈讨论。维护者在评论区指出 2026.3.22 已集中修复 8 枚 CVE(见下方版本发布),但批评方认为修复节奏远落后于漏洞发现速度。此帖直接推动了 2026.3.23 内针对 CSP inline-script hash 和凭据刷新的追加安全修复。

2. OpenClaw GitHub 开发者钓鱼攻击(token-claw.xyz)

来源: GitHub Issue #49836HN 讨论 时间: 2026-03-21 热度: 社区高度警惕,多位开发者确认收到

摘要: 攻击者伪造"OpenClaw Foundation"大量群发 GitHub 通知,声称空投 CLAW 代币,链接指向 token-claw.xyz 钱包连接页面。攻击精准批量抓取 GitHub stargzers/contributors 用户名。HN 与 Issue 讨论中留存了完整钓鱼路径描述。已在 #49836 汇报至 GitHub,请勿点击任何非官方 openclaw.ai 或 github.com/openclaw 域名链接。

3. CNBC:中国用户如何大规模采用 OpenClaw

来源: CNBCHN 讨论时间: 2026-03-18

摘要: CNBC 报道描述百度、腾讯、阿里云等平台将 OpenClaw 集成至企业产品的动向,并分析中国开发者与普通用户采用 OpenClaw 的驱动因素。本周 2026.3.22 正式加入 Qwen(阿里云 ModelStudio)标准 DashScope 端点(含国内与海外双版本),与报道同步印证了中国市场对接的优先级。

4. Ask HN: 有人真的在用 OpenClaw 吗?

来源: Hacker News 时间: 2026-03-24 热度: 4 pts, 7 评论

摘要: 提问者表示虽然 OpenClaw 声称是目前 GitHub Star 最多项目,但他的社交圈里没有人真正在用。有回复者分析"GH Star 增长确实来自真实用户,只是高热度导致大量观望但不使用"。此问引出 OpenClaw 真实渗透率争论,与另一帖《OpenClaw's ChatGPT moment sparks concern that AI models are becoming commodities》呼应,后者指出模型层差异化消失后 OpenClaw 的护城河在哪。

5. 微信插件 @tencent-weixin/openclaw-weixin 与 2026.3.22+ 不兼容

来源: Issue #52885 时间: 2026-03-23 热度: 20 评论(<18h 内爆发)

摘要: 升级至 2026.3.22 后微信官方插件集体失效,根因为插件 SDK 重构(openclaw/extension-api 已移除,需迁移至 openclaw/plugin-sdk/* 子路径)。随即 #53497 跟进报告 openclaw-weixin 1.0.3 在 2026.3.23-2 上报 plugin-sdk top-level barrel missing exports。目前无官方热修,微信用户面临暂停降级的选择。

6. Discord 多账号 gateway 启动卡死(v2026.3.22 Carbon reconcile 变更)

来源: Issue #53132 时间: 2026-03-23 热度: 4 评论

摘要: 2026.3.22 将 Discord 原生 slash command 部署切换为 Carbon reconcile 默认,部分多账号 gateway 配置升级后卡在 awaiting gateway readiness 无法启动。已有用户提供复现步骤,尚无维护者确认响应。属 W12→W13 回归,建议多账号 Discord 配置暂缓升级到 2026.3.22+。

7. Reddit: Jake Benchmark — 7 款本地 LLM 跑 OpenClaw 的一周测试

来源: r/LocalLLaMA 时间: 2026-03-23 热度: 22 votes, 18 评论

摘要: 作者用"Jake Benchmark"对 7 款本地可运行的 LLM(含 Llama 4 Scout/Maverick、Mistral 系列、Phi-4 等)测试其作为 OpenClaw agent 的工具调用能力,结论是大多数模型找不到 email 工具就止步了。仅 Llama 4 Maverick 与 Mistral Large 能完成多步 agent 任务。为需要本地模型 + OpenClaw 部署的用户提供了实测参考。

8. Reddit: "Claw-style agents: real workflow tool or overengineered hype?"

来源: r/LocalLLaMA 时间: 2026-03-22 热度: 16 votes, 33 评论

摘要: 帖子引爆关于 OpenClaw/agent 框架是否过度工程化的争议。支持方举出具体落地场景(GitHub PR 自动分拣、Slack 工单摘要);反对方认为稳定性差、prompt injection 防护不足、出问题时难以调试。恰好撞上本周安全文章,两帖在 LocalLLaMA 社区形成共鸣。

9. 🔄(遗留)Docker 插件运行时 bundled files 消失问题

来源: Issue #46443 / 同组 #47401/#47411/#47260 时间: 2026-03-15 开启 → 2026-03-24 已修复

摘要: 本周 2026.3.23 正式修复此问题:fix: ship bundled plugin runtime sidecars like WhatsApp light-runtime-api.js, Matrix runtime-api.js, and other plugin runtime entry files in the npm package again。确认为 #46301 send-deps 改动导致的发布打包回归,Discord/TG/Matrix/WhatsApp 扩展全部受影响。可标记为已解决。

10. 🔄(遗留)Thinking Blocks Anthropic API 400 循环(Issue #24612)

来源: Issue #24612 时间: 2026-02-23 开启,持续

摘要: 2026.3.13 recovery release 中包含 fix(agents): drop Anthropic thinking blocks on replay(PR #44843),修复了 replay 路径下 thinking blocks 残留导致后续 turn 400 的子集场景。但原 issue 描述的 resolveTranscriptPolicy preserveSignatures 根因 + auto-recovery 循环(Issue #44679 + PR #22270 未合并)问题尚未提及已关闭。本周无进展,继续跟踪。

11. MCP 工具绕过 allow/deny 策略过滤

来源: Issue #53504 时间: 2026-03-24 热度: 1 评论(今日开启)

摘要: 报告者发现 MCP 注册的工具可完全绕过 tools.subagents.tools.allow/deny 过滤策略,仅通过 subagent 调用即可执行被明确拒绝的工具。这是一个潜在的安全边界问题,恰逢安全文章引发的高度关注而爆炸性被翻出,预计将获得维护者快速响应。

12. Proposal: TASTE.md — workspace 人类偏好标准文件

来源: Issue #53442 时间: 2026-03-24

摘要: 提案希望在 OpenClaw 生态中引入一个标准化文件 TASTE.md,用于在 workspace 层记录使用者的代码风格、沟通偏好、价值观等"品味",供 agent 无需每次在 system prompt 中重复。与 AGENTS.md/CURSOR_RULES 等现有规范互补。尚处讨论阶段,本周有一条评论表达支持。

🚀 新功能 / 已合并 PR

13. feat(memory): 标题感知内存分块选项

来源: PR #51913 时间: 2026-03-22 开启 热度: 17 评论,进度 100%

摘要: 新增 memory.headingAwareChunking 选项,按文档标题边界切分(而非固定 token 数),改善含多级标题的长文档、代码注释文档的检索相关性。XS 规模 PR,任务已完成,待合并。

14. PR #53499: 新增中文 README(CREATE README_CN.md)

来源: PR #53499 时间: 2026-03-24 热度: 15 评论(进度 20%)

摘要: 社区贡献者 webzol 提交中文版 README,覆盖安装、配置、频道对接等主要内容。进度尚早,reviewer 反馈翻译质量与内容同步问题。此 PR 也反映了中文用户群体规模增大的现实。

15. Show HN: agent-ruler — 本地确定性 OpenClaw 安全沙盒

来源: HN | GitHub 时间: 2026-03-21 热度: 4 pts, 8 评论

摘要: 个人作者 steadeepanda 为 OpenClaw 开发了轻量确定性安全控制层,无 AI 层,纯规则驱动,支持边界审批(Tailscale 手机推送)、跨边界时弹出可视化请求。当前仅支持 Linux + TG Channel。作者明确表示希望测试 prompt injection 防御能力,正好契合本周安全议题热潮。

📦 版本发布

2026.3.23(Latest Stable)

发布时间: 2026-03-24 类型: Stable 发布链接: v2026.3.23 贡献者: 16 人;反应数 120+

安全修复:

  • CSP/Control UI: 为 index.html 中的内联 <script> 块计算 SHA-256 hash 并注入 script-src,保持内联脚本默认封锁(#53307
  • Diagnostics/cache trace: 剥离 cache-trace JSONL 中的凭据字段,保留非敏感诊断字段

新功能/亮点:

  • ModelStudio/Qwen: 新增 DashScope 国内+全球标准端点(pay-as-you-go),Provider 组重命名为 Qwen (Alibaba Cloud Model Studio)(#43878)
  • UI/Knot 主题: 黑红配色 WCAG 2.1 AA 对比度,圆角改为离散档位,aria-label 无障碍补全(#53272)
  • Plugins/bundled runtimes: 修复 Docker/npm 全局安装后 plugin runtime 文件丢失问题(WhatsApp、Matrix、Discord 等 bundled sidecar 恢复打包)
  • Auth/OpenAI tokens: 修复 gateway 写入 auth-profile 覆盖刚保存的新 token 问题(#53207 / #45516)
  • Browser/Chrome MCP: 等待会话就绪后再 attach,减少 macOS Chrome 的重复 consent 弹出(#52930 / #53004)
  • ClawHub/macOS auth: 修复 macOS Application Support 路径的 ClawHub token 读取(#52949)
  • CLI/cron: --at --tz DST 边界处理修复(#53224)
  • Gateway/OpenRouter: 修复 openrouter/auto 定价递归无限循环(#53035)

2026.3.22(Stable — 本周最大版本)

发布时间: 2026-03-23 类型: Stable 发布链接: v2026.3.22 贡献者: 120+ 人;反应数 200+(148 👍)

⚠️ Breaking Changes(迭代风险高):

  • openclaw plugins install <pkg> 现优先 ClawHub,npm 降为 fallback
  • Chrome 浏览器扩展中继路径完全移除(需运行 openclaw doctor --fix 迁移)
  • nano-banana-pro 技能移除,统一用 agents.defaults.imageGenerationModel
  • Plugin SDK 从 openclaw/extension-api 迁移至 openclaw/plugin-sdk/* 子路径(无兼容 shim)
  • Matrix 插件重写(基于官方 matrix-js-sdk,需按迁移指南操作)
  • CLAWDBOT_* / MOLTBOT_* 环境变量全部移除
  • ~/.moltbot 状态目录不再自动迁移
  • 执行环境沙盒:封锁 MAVEN_OPTSSBT_OPTSGRADLE_OPTSGLIBC_TUNABLESDOTNET_ADDITIONAL_DEPS 等构建工具 JVM/CLR 注入向量(#49702)

安全修复(8 枚 GHSA):

GHSA描述
GHSA-99qw-6mr3-36qr禁用隐式 workspace 插件自动加载,防止克隆仓库执行任意插件代码
GHSA-pcqg-f7rg-xfvv审批提示中对零宽 Unicode 格式字符转义,防止命令欺骗显示
GHSA-9r3v-37xh-2cf6exec 检测路径也对零宽/全角混淆字符正规化
GHSA-f8r2-vg7x-gh8m保持 allowlist POSIX 大小写敏感 + ? 限制在单路径段
GHSA-r7vr-gr74-94p8/config / /debug 命令改为仅 owner 可用
GHSA-rqpp-rjj8-7wv8清除 WebSocket 客户端自声明的未绑定 scope
GHSA-vmhq-cqm9-6p7q阻止 browser.request 持久化创建/删除浏览器 profile
GHSA-2rqg-gjgv-84jm拒绝公网 spawned-run lineage 字段注入
GHSA-wcxr-59v9-rxr8sandbox subagent 不得读父会话元数据或写模型覆盖

新功能/亮点:

  • ClawHub 原生 CLI: openclaw skills search|install|update / openclaw plugins install clawhub:<package>
  • Claude Marketplace 集成: plugin@marketplace 安装支持(#48058)
  • 默认 OpenAI 模型升级至 openai/gpt-5.4(Codex 保持 openai-codex/gpt-5.4
  • Per-agent thinking/reasoning/fast 配置默认值
  • 可插拔沙盒后端 + OpenShell(mirror/remote workspace 模式)+ SSH 沙盒后端
  • Chrome MCP 附加任意 Chromium 内核浏览器(Brave/Edge via userDataDir,#48170)
  • 三大 Web 搜索插件新上线: Exa、Tavily、Firecrawl(各自独立 tool 名)
  • Chutes AI provider 插件(OAuth/API-key,#41416)
  • Anthropic Vertex AI 原生支持anthropic-vertex provider,#43356)
  • /btw 命令:不影响会话上下文的快速边问题
  • ✅ Kubernetes 部署文档(K8s manifests + Kind 快速安装)
  • ✅ Control UI 聊天气泡新增"展开为 Canvas"按钮

2026.3.13(Recovery Release)

发布时间: 2026-03-18(约) 类型: Stable(恢复发布) 发布链接: v2026.3.13-1 贡献者: 37 人

背景: v2026.3.13 标签/Release 因 GitHub 不可变 Release 限制无法复用,故用 v2026.3.13-1 标签发出,npm 版本仍为 2026.3.13

安全修复(本周新增确认):

  • iMessage/remote attachments: 拒绝不安全的远程附件路径,防止 sender 控制的文件名注入 shell 元字符
  • TG/webhook auth: 在读取请求体之前先验证 TG webhook secret(防止 1 MB 预读滥用)
  • Security/device pairing: 设备配对 bootstrap code 改为一次性使用,防止 replay 静默扩权
  • Security/external content: 剥离零宽/软连字符分隔符,防止 EXTERNAL_UNTRUSTED_CONTENT marker 伪造
  • macOS exec approvals: 多项 pnpm/Perl/PowerShell/env 包装形式的 exec approval 失闭修复

功能亮点:

  • Android 聊天设置 UI 重新设计(组分式布局)
  • iOS 首次运行欢迎 pager
  • Chrome DevTools MCP 官方 attach 模式(chrome://inspect/#remote-debugging
  • Docker OPENCLAW_TZ 时区覆盖支持

🗓 本周发版节律

版本类型日期亮点
2026.3.13-1Stable(Recovery)~2026-03-18修复 2026.3.13 损坏 tag,补安全修复和 Chrome MCP
2026.3.13-beta.1Pre-release~2026-03-17Android/iOS/Browser/Windows 修复集
2026.3.22-beta.1Pre-release2026-03-23同 2026.3.22 内容
2026.3.22Stable2026-03-23巨型版本:8 CVE + ClawHub CLI + gpt-5.4 默认 + 三大搜索插件
2026.3.23Stable2026-03-24CSP hash + Qwen ModelStudio + Plugin runtime 打包修复

📊 本周共 5 次发布(3 stable + 2 pre-release),发布节奏极高(平均每 1.5 天一版);2026.3.22 是近期最大版本(120+ 贡献者,多个 breaking change,9 枚安全修复)。

📊 数据概览

维度数据
GitHub 活跃 Issues9,095 open(+13,151 closed);本周新增数十条
GitHub PRs 动态6,055 open(400 页),本周 2026.3.22/2026.3.23 合并大量 PR
HN 最热讨论"OpenClaw is a security nightmare..."(391 pts, 275 评论)
Reddit 最热"Claw-style agents: real or hype?"(33 评论);Jake Benchmark(18 评论)
本周核心主题Plugin SDK 重构兼容性 · 安全审查升温 · ClawHub 生态化 · 中国市场对接
版本里程碑2026.3.22 = 迄今贡献者最多单版本(120+)

🔬 深入分析

深入 1:2026.3.22 Plugin SDK 迁移 — 对第三方插件(含微信)的实际影响范围

1. 📋 背景与问题描述

2026.3.22 将 OpenClaw 插件的公开 SDK 接口从 openclaw/extension-api(旧)迁移至 openclaw/plugin-sdk/*(新),并没有提供任何兼容层(no compatibility shim)。这意味着所有依赖旧路径的第三方插件,在升级至 2026.3.22 后会立即崩溃。

官方的迁移说明藏在 Release Notes 的 Breaking Changes 一行:

"The new public plugin SDK surface is openclaw/plugin-sdk/*; openclaw/extension-api is removed with no compatibility shim. Bundled plugins must use injected runtime for host-side operations and any remaining direct imports must come from narrow openclaw/plugin-sdk/* subpaths instead of the monolithic SDK root."

第一个"爆雷"是微信官方插件 @tencent-weixin/openclaw-weixin(Issue #52885,18 小时内 20 条评论),随后 #53497 跟进确认 Feishu 插件也受影响。

2. 🛠 技术细节:两个独立的根因

社区通过 Issues #52885 和 #53497 确认了两个独立 Bug叠加:

Bug 1:SDK 顶层 barrel 被裁剪(主因)

旧版 openclaw/plugin-sdk 的顶层 index.js 会把所有运行时函数全部 re-export。2026.3.22 重构后,dist/plugin-sdk/index.js 仅保留极少量类型级导出,大量运行时函数被移到子路径。第三方插件从顶层导入时会直接报 Cannot find moduleundefined 导出。

新的函数→子路径映射表(从 Issue #52885 社区整理):

旧导入来源(顶层或 extension-api)新导入子路径
resolvePreferredOpenClawTmpDir, withFileLockopenclaw/plugin-sdk/infra-runtime
normalizeAccountIdopenclaw/plugin-sdk/account-id(或 /core
buildChannelConfigSchemaopenclaw/plugin-sdk/channel-config-schema
createTypingCallbacksopenclaw/plugin-sdk/channel-runtime
resolveSenderCommandAuthorizationWithRuntime, resolveDirectDmAuthorizationOutcomeopenclaw/plugin-sdk/command-auth
stripMarkdownopenclaw/plugin-sdk/text-runtime
stringEnumopenclaw/plugin-sdk/core(见 Issue #52902)

Bug 2:全局安装插件的 node_modules 解析失效(放大因)

插件安装目录为 ~/.openclaw/extensions/<plugin>/,其中没有本地 node_modules/openclaw。Node.js 依赖"向上级目录 walk-up"找到全局安装的 openclaw 包,但这在以下场景下会失败:

  • Windows(跨盘符或权限隔离)
  • 某些全局 npm 安装路径结构(非标准)
  • jiti/bundler 路径解析器未配置正确的 search root

Feishu 官方插件 openclaw-lark 已意识到这个架构缺陷,改为在包内捆绑一份自己的 openclaw 副本(作为 workaround)。

3. ⚙️ 当前可用缓解方案(无官方修复)

方案 A:symlink(社区用户 ark930 验证,macOS/Linux)

# 在插件目录内建立 openclaw 的软链接
mkdir -p ~/.openclaw/extensions/openclaw-weixin/node_modules
ln -s $(npm root -g)/openclaw ~/.openclaw/extensions/openclaw-weixin/node_modules/openclaw

然后手动修改插件源码中的 import 路径,参照上方映射表。

方案 B:在插件目录内重新安装依赖

cd ~/.openclaw/extensions/openclaw-weixin
npm install

这会在本地建立 node_modules,让 Node.js 解析 openclaw 时走本地路径,绕开 Bug 2(但 Bug 1 仍需插件作者发布新版本才能彻底修复)。

方案 C(最稳定):回退 openclaw 主版本

npm install -g openclaw@2026.3.13

2026.3.13 是目前兼容微信插件的最后一个稳定版本。此方案代价是失去 2026.3.22 的所有安全修复(9 枚 GHSA)。

4. 💡 核心观点与结论

  1. 根因是意图性的,代价是现实的:2026.3.22 这次迁移是蓄意的架构清理(去除遗留 API,推进更窄、更有意图性的 SDK 接口)。官方文档中有 Migration Guide(sdk-migration),但并未配合兼容 shim 或版本锁定支持,导致大量插件作者在毫无预警的情况下被迫同步更新。

  2. 没有 shim 是刻意决策,也是最大争议点:从过去几个大版本(如 2026.3.x 系列)的发布节奏来看,核心团队偏向"break early, fix fast"策略。但微信插件是由腾讯官方团队维护的,上游响应周期与 OpenClaw 发版节奏不同步,导致 v2.0.1 发布后仍然因为 channel-config-schema 子路径缺失而崩溃。这是纯粹的协调失败。

  3. openclaw-lark 的 bundle 策略是"毒药":Feishu 插件选择把 openclaw 整体 bundle 进去的方案,虽然解了单次升级问题,却带来包体积膨胀、版本双轨等长期问题——是一种技术债累积的 workaround。

  4. Windows 用户受双重打击:Bug 1(barrel 裁剪)+ Bug 2(walk-up 解析失败在 Win 上更普遍)叠加,Windows 平台微信插件用户几乎 100% 受影响,且 symlink 方案在 Windows 上需要管理员权限。

5. 👥 影响人群与范围

群体影响程度
微信(WeChat)插件用户🔴 严重;唯一稳定解是降级
Feishu 插件用户🟠 中等;部分场景受影响,待确认
Discord / TG 插件用户🟢 基本不受影响(bundled 插件由核心团队同步维护)
自行开发第三方插件的开发者🟠 中等;需手动迁移 import 路径
中国市场用户(微信/Feishu 为主渠道)🔴 直接打击最核心渠道,恰逢 CNBC 报道中国采用率上升

6. 📈 当前状态

  • Issue #52885:Open,20 评论,无官方维护者 fix 承诺
  • Issue #53497:Open,社区定位两个根因,暂无官方 PR
  • 微信插件 v2.0.1:已发布,但仍 broken(Cannot find module 'openclaw/plugin-sdk/channel-config-schema'
  • 官方 SDK Migration Guide:存在(docs),但社区认为说明不够清晰
  • 预期解法方向:在 dist/plugin-sdk/index.js 中补回 re-export + 修复 jiti resolver search path

7. 🔗 资源链接

深入 2:2026.3.22 的 9 枚 GHSA 安全漏洞 — 根因与修复验证

1. 📋 背景与问题描述

2026.3.22 Release Notes 中列明了 9 枚 GHSA(GitHub Security Advisory)编号漏洞修复,这在 OpenClaw 的历史版本中属于单版本安全修复量最高的一次。

同日(2026-03-22),composio.dev 发布长文《OpenClaw is a security nightmare dressed up as a daydream》在 HN 登上前三(391 pts, 275 评论)。这场"修复日"与"批评日"的时间重叠并非巧合——几乎可以确认:安全研究者在负责任披露流程完成后,与发版节奏协调了文章发布时机。

此外,2026.3.13(Recovery Release)和 2026.3.23 中还有若干未编 GHSA 号但性质等同的安全修复,本节一并分析。

2. 🛠 漏洞分类分析

类别 A:Exec 审批欺骗(GHSA-pcqg-f7rg-xfvv、GHSA-9r3v-37xh-2cf6、GHSA-f8r2-vg7x-gh8m)

这类漏洞的核心手法:让恶意命令在 UI 中伪装成无害文本,骗过用户点击"允许"

  • GHSA-pcqg-f7rg-xfvv:审批提示中插入零宽 Unicode 格式字符(如 U+200B、U+FEFF、韩文空格填充符 Hangul Filler)可使 rm -rf / 在视觉上显示为 ls -la。修复:对所有审批提示字符串进行 Unicode 格式字符转义。
  • GHSA-9r3v-37xh-2cf6:exec 路径解析中对全角 ASCII、混淆同形字(Confusables)不做正规化,攻击者可用视觉上看起来像 /usr/bin/ls 的路径绕过 allowlist 检测。修复:exec 路径检测统一 Unicode 正规化。
  • GHSA-f8r2-vg7x-gh8m:exec allowlist 的 glob 匹配在 Windows 触发大小写不敏感,且 ? 通配符可越过路径段边界,允许 ?cmd.exe 匹配 \cmd.exe。修复:强制 POSIX 大小写敏感 + ? 限制在单路径段。

类别 B:权限提升(GHSA-r7vr-gr74-94p8、GHSA-rqpp-rjj8-7wv8)

  • GHSA-r7vr-gr74-94p8:对话中 /config/debug 命令原本对任何能发送消息的用户可见,攻击者可用来读取 gateway 配置或触发诊断输出。修复:改为 owner-only 命令。
  • GHSA-rqpp-rjj8-7wv8:WebSocket 客户端在握手时可以自声明 scope(如 adminsecrets),gateway 此前未校验这些 scope 是否有对应的 device-bound 授权。修复:清除自声明的未绑定 scope,设备身份认证后方可获升级 scope。

类别 C:浏览器面(GHSA-vmhq-cqm9-6p7q)

  • GHSA-vmhq-cqm9-6p7qbrowser.request API 被插件或外部触发时,可持久化地创建或删除浏览器 Profile(含 UserDataDir),攻击者可借此横向移动或持久化后门 Profile。修复:通过 nodeHost.browserProxy.allowProfiles allowlist 约束可操作的 Profile。

类别 D:Agent 隔离边界(GHSA-2rqg-gjgv-84jm、GHSA-wcxr-59v9-rxr8)

  • GHSA-2rqg-gjgv-84jm:外部触发的 spawned-run(如 webhook 入站)可在 lineage 字段中注入任意会话 ID,伪装成内部 agent 的子 Run,绕过 origin 检查。修复:拒绝公网触发的 spawned-run lineage 字段注入。
  • GHSA-wcxr-59v9-rxr8:sandbox 中的 subagent 可通过 SDK 读取父会话元数据(含 agent 配置、用户 token)或写入模型覆盖(如在 sandbox 里改成更强的 claude-opus),实现 sandbox 逃逸级别的权限提升。修复:sandbox subagent 强隔离,禁止读父会话元数据、写模型覆盖。

类别 E:隐式插件加载(GHSA-99qw-6mr3-36qr)—— 最严重

  • GHSA-99qw-6mr3-36qr:OpenClaw 以前会从 workspace 目录及其父目录自动发现并加载 openclaw.plugin.json 文件,即使用户没有明确 plugins install。这意味着:只要攻击者让开发者 git clone 一个含有恶意 openclaw.plugin.json 的仓库,OpenClaw 的下一次启动就会自动执行恶意插件代码。这是一个供应链级别的代码执行漏洞,在 AI 开发工具生态中风险极高。修复:禁用隐式 workspace 插件自动加载,改为必须显式 install。

附加安全修复(无 GHSA 编号)

修复项类型
Windows file:///UNC 路径媒体 URL 拦截(RacerZ-fighting 报告)SSRF(Windows SMB 凭据劫持)
DNS-SD/Bonjour 服务发现 fail-closed(nexrin 报告)服务发现 SSRF
jq 从 safe-bin 移除(jq -n env 可 dump 主机 secrets)信息泄露
Nostr DM:加密前先走 policy,pre-crypto 速率/大小限制未授权 bypass + CPU 滥用
Synology Chat:DM 绑定稳定 user_id,非用户名账户混淆
Feishu webhook:常量时间签名验证Timing side-channel
macOS exec HMAC:timing-safe 比较Timing side-channel
iOS pairing code:一次性使用 + role 约束Replay 攻击
GHSA-7jrw-x62h-64p8device.token.rotate deny 处理强化权限提升
iMessage 远程附件路径:拒绝 shell 元字符命令注入

3. 💡 根因模式总结

这 9 枚 GHSA 的根本问题可归结为 3 个系统性缺陷

  1. 信任边界模糊:OpenClaw 的核心设计——代替用户执行命令——天然产生"AI 决策 → 主机 exec"的信任链。任何能影响这条链上下文的输入(Unicode 字符、glob 字符、WebSocket claims、lineage 字段)都是潜在的注入向量。
  2. 防呈现 ≠ 防语义:攻击者不需要注入恶意二进制,他们只需要让"人类看到A,系统执行B"(Unicode spoofing 系列),或者让"请求看起来来自内部,系统给予内部权限"(WebSocket scope、lineage 注入)。
  3. 沙盒边界不完整:sandbox subagent 可以横向读取父 session、写覆盖——说明 subagent 的资源访问沙箱在设计时对"同进程内的 API"没有做完整的权限模型,而不是仅仅依赖 OS 级别的进程隔离。

4. 👥 影响人群与修复状态

漏洞修复版本影响场景
GHSA-99qw-6mr3-36qr(隐式插件加载)2026.3.22git clone 任何含 openclaw.plugin.json 的仓库
GHSA-pcqg-f7rg-xfvv / -9r3v(Unicode spoofing)2026.3.22对话中有外部可控内容触发 exec 审批
GHSA-f8r2-vg7x-gh8m(glob bypass)2026.3.22Windows 用户 + 跨段 ? 通配符
GHSA-r7vr-gr74-94p8(chat cmd privilege)2026.3.22任何能发送 bot 消息的群组成员
GHSA-rqpp-rjj8-7wv8(WS scope claim)2026.3.22WebSocket 接入的 Control UI / API 客户端
GHSA-vmhq-cqm9-6p7q(browser profile)2026.3.22有 browser 节点的部署
GHSA-wcxr-59v9-rxr8(sandbox subagent)2026.3.22任何启用 sandbox subagent 的用户
Windows SMB SSRF(无 GHSA)2026.3.22处理外部图片/媒体 URL 的 Win 部署

如果你目前仍在 2026.3.13 或以下版本,上述漏洞全部未修复。但如果因微信插件兼容问题回退到 2026.3.13,则面临"安全 vs 兼容性"的真实取舍。官方暂无回退兼容 patch 的表态。

5. 📈 当前状态

  • 9 枚 GHSA 均已在 2026.3.22 中修复(2026-03-23 发布)
  • 2026.3.23(2026-03-24)补充修复了 CSP inline-script hash 和凭据缓存问题
  • MCP 工具绕过 allow/deny 策略(Issue #53504)是本周新暴露的、尚未修复的安全边界问题
  • composio.dev 文章的高热度讨论预计会继续推动团队的安全修复节奏

6. 🔗 资源链接

深入 3:ClawHub vs Claude Marketplace vs npm — 生态路线分叉的含义

1. 📋 背景与问题描述

2026.3.22 同时上线了两个新的插件/技能分发渠道:

  1. ClawHub 原生集成openclaw skills search|install|updateopenclaw plugins install clawhub:<pkg>
  2. Claude Marketplace 支持plugin@marketplace 安装,PR #48058)

更重要的是,2026.3.22 修改了默认安装行为

"bare openclaw plugins install <package> now prefers ClawHub before npm for npm-safe names, and only falls back to npm when ClawHub does not have that package or version."

这意味着:npm 被从默认首选降级为 fallback,ClawHub 成为新的默认插件分发入口。这是 OpenClaw 生态的一个拐点,影响深远。

2. 🛠 三方生态架构解析

ClawHub(clawhub.ai)

ClawHub 是 OpenClaw 技能(Skills)和插件(Plugins) 的公开注册表:

  • 技能(Skills)= SKILL.md 驱动的结构化指令包(无代码,纯指令),供 agent 执行特定工作流
  • 插件(Plugins)= npm-format 的 OpenClaw 插件包,含运行时代码、渠道扩展等

关键特性:

  • 向量搜索(openclaw skills search "calendar" 能语义匹配)
  • 版本管理(semver + tag,如 latest
  • 社区信号(stars、使用量、举报/审核)
  • 锁文件追踪(.clawhub/lock.json),支持 update --all
  • 防滥用措施:GitHub 账号龄 ≥ 1 周才可发布;≥3 举报自动隐藏;版主审核

Claude Marketplace

从 PR #48058 的描述来看,Claude Marketplace 是 Anthropic 维护的插件/Bundle 注册表,支持:

  • openclaw plugins install <name>@marketplace 语法直接从 Claude 市场安装
  • Marketplace bundle 安装(Codex、Claude、Cursor 等官方 bundle)
  • Docker E2E coverage(意味着 Claude Marketplace 安装路径已完成集成测试)

目前信息有限:Claude Marketplace 的内容审核标准、发布权限、与 ClawHub 的内容重叠程度均未公开说明。从 PR 语义推断,其定位更接近"Anthropic 官方策展的精选集",类似于 App Store Featured 区域。

npm(降级为 fallback)

npm 从"默认"降为"备用"体现了核心团队的明确态度:

  • 原始 npm 包不经任何 OpenClaw-specific 审查就能执行插件代码
  • 任何人都可以发布 openclaw-xxx 包并被 openclaw plugins install openclaw-xxx 安装
  • 这是一个供应链攻击面,ClawHub 的基本发布限制(账号龄 + 社区举报)提供了最低限度的摩擦

3. 💡 分叉的深层含义

含义 1:生态入口的重新中心化

OpenClaw 核心团队正在通过默认行为(ClawHub-first)将生态的发现/分发入口从分散的 npm 拉进自己可以直接影响的平台。这在商业上合理(提升 ClawHub 流量,掌握插件生态数据),在安全上也有一定合理性(至少有最低门槛)。

类比:这是 VS Code 做的事——VSX 扩展市场 vs npm 包,Marketplace 成为实际标准,npm 退为原始后端。

含义 2:三方共存 = 短期碎片化

目前安装语法已经有至少三种:

openclaw plugins install openclaw-weixin          # → 先找 ClawHub,fallback npm
openclaw plugins install clawhub:openclaw-weixin   # → 强制 ClawHub
openclaw plugins install openclaw-weixin@marketplace # → Claude Marketplace

插件作者现在面临决策:在哪里发布?各渠道的版本是否一致?用户如何知道用哪条命令?三个渠道的版本漂移(drift)是未来 1-2 个月内最可能引发用户困惑的地方。

含义 3:ClawHub vs Claude Marketplace 的隐性竞争

ClawHub 是社区开放注册表,任何人发布,公开审核——偏向 long-tail 生态。
Claude Marketplace 是 Anthropic 策展集,偏向官方背书的精选——偏向优质/可信插件。

最可能的稳定态格局:

  • Claude Marketplace = "官方精选"tier(高信任、高可见度、Anthropic 审核)
  • ClawHub = "社区开放"tier(快速迭代,长尾插件,搜索驱动发现)
  • npm = "开发者直通"tier(CI/CD 场景,自托管,私有插件)

但如果两个官方渠道(ClawHub / Claude Marketplace)的内容定位不清晰,可能引发开发者"在哪里发布才算认可"的焦虑,类似早年 Linux 发行版生态的碎片化。

含义 4:Skills vs Plugins 的概念分层

这次同时推出 skillsplugins 两套 CLI 语义是有意为之的:

  • skills = 无代码指令集(SKILL.md 驱动),任何人都可以发布,无安全风险
  • plugins = 有代码,需要运行时执行,安全风险高

ClawHub 同时服务两层,但风险属性完全不同。核心团队将 skills 的发现/分发独立出 openclaw skills 命令族,是在为未来 "sandboxed skill store"(技能不执行任意代码)和"trusted plugin store"(插件需要更严格审查)创造分离基础。

4. ⚙️ 当前实际状态

  • ClawHub 已上线,可用(clawhub.ai,npm i -g clawhub 发布 CLI)
  • Claude Marketplace 支持已合并(PR #48058),@marketplace 安装语法可用
  • npm fallback 仍保留,短期内两种路径并存
  • 2026.3.23 中已修复 ClawHub macOS auth token 读取路径问题(#52949
  • 仍缺失:ClawHub vs Claude Marketplace 的内容重叠/冲突策略、版本一致性保证、插件签名/代码审查机制

5. 👥 影响人群

角色影响
插件作者(npm 已发布)需决定是否迁移/同步发布到 ClawHub;bare install 默认行为变化可能导致"npm only"插件的安装失败或版本不一致
技能文件作者(SKILL.md 类)ClawHub 技能发布是新功能,有助于提升技能的发现度;影响整体正向
企业自托管用户ClawHub-first 默认可能在内网环境造成意外的外网依赖;可通过 CLAWHUB_REGISTRY 环境变量覆盖
普通用户(无开发背景)短期受益(skills search 更直观);长期受益于审核摩擦降低风险

6. 📈 预测

  • 未来 1-2 个月:ClawHub vs npm 安装优先级的实际表现将暴露版本漂移问题;预期新 Issue 出现
  • 3-6 个月:Claude Marketplace 内容策略可能更清晰,或与 ClawHub 形成明确分工
  • 关键指标可观察:ClawHub 上插件数量增长(现阶段极早期),@marketplace 安装量,与 npm 下载量的对比趋势

7. 🔗 资源链接

avatar
文章
阅读
粉丝