北京時(shí)間3月24日，備受關(guān)注的“龍蝦”O(jiān)penClaw迎來(lái)了一次大規(guī)模更新，包括插件系統(tǒng)重構(gòu)、模型升級(jí)、安全加固和沙箱架構(gòu)升級(jí)等。新版本定位為跨平臺(tái)個(gè)人AI助手，主要調(diào)整了底層架構(gòu)。更新后，OpenClaw插件安裝優(yōu)先從官方專屬插件市場(chǎng)ClawHub進(jìn)行，而非npm（標(biāo)準(zhǔn)Node.js包管理器）。舊插件系統(tǒng)被刪除，并使用全新的插件開(kāi)發(fā)工具包。

npm作為全球JavaScript開(kāi)發(fā)者共用的公共基礎(chǔ)設(shè)施，雖然可以免費(fèi)下載和上傳代碼插件，但也存在惡意插件隨意上傳、無(wú)法審核或管控等問(wèn)題。這也是OpenClaw放棄npm轉(zhuǎn)用ClawHub的重要原因。

然而，這次以“安全與生態(tài)統(tǒng)一”為目標(biāo)的重構(gòu)卻演變成了一場(chǎng)嚴(yán)重的“升級(jí)事故”。由于OpenClaw強(qiáng)行將插件生態(tài)從公共npm遷移到官方ClawHub，導(dǎo)致流量暴增，新版本全線報(bào)錯(cuò)。具體問(wèn)題包括dist/control-ui目錄缺失、插件系統(tǒng)崩潰、MiniMax等國(guó)產(chǎn)模型配置失效以及Windows沙箱權(quán)限錯(cuò)誤等。

有開(kāi)發(fā)者反饋稱，這是一次糟糕的更新，所有插件技能都必須上傳至ClawHub才能使用，而許多常用插件并未同步到ClawHub。此外，請(qǐng)求次數(shù)增加后會(huì)發(fā)生速率限制。另一位開(kāi)發(fā)者表示，新版本會(huì)導(dǎo)致WhatsApp插件失效，升級(jí)后頻道停止服務(wù)，需要回滾處理。

針對(duì)ClawHub訪問(wèn)異常問(wèn)題，OpenClaw開(kāi)發(fā)者皮特·斯坦伯格回應(yīng)稱，為了抵御頻繁的網(wǎng)絡(luò)攻擊，限流規(guī)則設(shè)置得過(guò)于嚴(yán)格。后續(xù)會(huì)調(diào)整限流策略，放寬限制以恢復(fù)正常訪問(wèn)。這也揭示了本次升級(jí)失敗的原因：大量用戶在升級(jí)后涌入ClawHub尋找新插件或修復(fù)舊插件問(wèn)題，疊加可能的惡意流量攻擊，觸發(fā)了ClawHub的限流機(jī)制，進(jìn)一步加劇了用戶體驗(yàn)的崩潰。

此次OpenClaw升級(jí)的背景是行業(yè)對(duì)“龍蝦系列”的安全問(wèn)題愈發(fā)關(guān)注。3月22日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心與中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)聯(lián)合發(fā)布了OpenClaw安全使用實(shí)踐指南，面向普通用戶、企業(yè)用戶、云服務(wù)商和技術(shù)開(kāi)發(fā)者提出安全防護(hù)建議。

除了插件生態(tài)，OpenClaw還在沙箱方面進(jìn)行了加固，針對(duì)執(zhí)行環(huán)境和網(wǎng)絡(luò)請(qǐng)求進(jìn)行了多項(xiàng)安全修復(fù)，加強(qiáng)了Discord Slash Command的權(quán)限控制，限制了Windows上的SMB憑據(jù)握手，防止本地媒體輸入觸發(fā)惡意網(wǎng)絡(luò)認(rèn)證。

整體來(lái)看，OpenClaw新版本是一個(gè)以開(kāi)發(fā)者與安全性為導(dǎo)向的版本，但在安全性、可用性與用戶體驗(yàn)之間的失衡表明，面向用戶的生態(tài)遷移與工程化落地仍需更細(xì)化的打磨。激進(jìn)的架構(gòu)調(diào)整需要搭配充分的兼容預(yù)案、流量測(cè)試與用戶過(guò)渡方案。