OpenClaw 3.22底层架构大换血 插件生态从npm迁移至ClawHub
OpenClaw 3.22版本完成底层架构重构,旧扩展API被彻底废弃,ClawHub成为官方插件分发首选渠道,同时封堵十多项安全漏洞。
插件系统一刀切
3.22版本最核心的变动,是插件系统的彻底重构。旧有的openclaw/extension-api被整体移除——没有兼容层,没有过渡期。取而代之的是全新的openclaw/plugin-sdk/*模块化接口。所有依赖旧API的第三方插件,都必须完成迁移才能继续使用。
这个决定在社区引发了不小的震动。有人觉得太激进,但从工程角度看,拖着两套API往前走,迟早要还技术债。OpenClaw之父Peter Steinberger显然选择了快刀斩乱麻。
更深层的变化在于分发渠道。此前执行openclaw plugins install时,系统直接从npm拉包。npm本质上是个通用包管理器,谁都能发包,安全审核几乎不存在。3.22之后,ClawHub——OpenClaw官方维护的专属插件市场——成为首选安装源。只有ClawHub上找不到的包,才会回退到npm。这相当于给整个插件生态加装了一道门禁。
生态兼容性方面也有突破。3.22新增了对Claude、Codex、Cursor三大开发工具插件包的发现与安装支持,外部插件包里的Skills可以自动映射到OpenClaw技能体系中。这意味着开发者在Cursor里跑得顺手的插件,大概率能直接搬进OpenClaw。
十多个安全漏洞一次性封堵
安全修复是这次更新的另一个重头戏,尤其对Windows用户而言。
第一个是SMB凭证泄露。攻击者通过构造特殊的file://或UNC路径,在媒体加载环节触发Windows自动发起SMB认证握手——用户以为只是在加载一张图片,实际上Windows登录凭证已经被发送到外部服务器。3.22在核心媒体加载和沙盒附件路径中全面拦截了远程路径。
第二个涉及执行环境沙盒加固。新版封锁了MAVEN_OPTS、SBT_OPTS、GRADLE_OPTS等JVM注入路径,堵住了GLIBC_TUNABLES利用通道,还拦截了.NET的DOTNET_ADDITIONAL_DEPS依赖劫持。主流构建工具链的环境变量注入攻击,这次一次性全堵上了。
第三个是Unicode零宽字符审批伪装。有人用不可见的韩文填充码位来伪装执行命令的审批提示,让操作者在审批时根本看不到真实命令。3.22在网关和macOS原生审批界面中全面转义了这类字符。
第四个是语音通话Webhook的预认证防护。旧版本允许未认证调用者以1MB/30秒的缓冲窗口消耗服务器资源,新版将预认证的body读取限制压到64KB/5秒,并限制了单IP的并发预认证请求数。对公网部署的用户来说,这一版的安全修复是刚需。
模型路由器定位持续强化
模型层面的升级同样有不少干货。默认OpenAI模型正式切换到GPT-5.4,同时预置了gpt-5.4-mini和gpt-5.4-nano的前向兼容支持。MiniMax方面默认模型从M2.5升级到M2.7,此前分离的API和OAuth两个插件入口被合并为单一的minimax插件,配置复杂度大幅降低。
一个容易被忽略但价值很高的变化是Anthropic Vertex正式接入。通过Google Vertex AI可以直接调用Claude模型,包括GCP认证和自动发现。对已经在Google Cloud上跑业务的团队来说,这条路径省去了不少集成成本。
多平台细节打磨
Android端终于支持了跟随系统的深色模式,从引导页到聊天页到语音页全覆盖。Control UI新增了圆角滑块,用户可以自定义界面圆角程度。
Telegram新增了DM论坛话题的自动重命名功能——首条消息进来后,系统会用LLM生成有意义的话题标签,替代此前无意义的ID字符串。飞书升级了结构化交互审批卡片和推理流渲染,思考过程以Markdown引用块实时显示在同一张卡片里。
沙盒系统架构也做了升级,新增可插拔后端支持,首批上线了OpenShell和SSH两个后端,不再绑定Docker单一方案。Agent默认超时时间从600秒直接拉到了48小时,长任务ACP会话不再被10分钟的限制卡脖子。
GitHub地址:https://github.com/openclaw/openclaw/releases/tag/v2026.3.22-beta.1
信息来源:IT之家、腾讯新闻、搜狐科技