820個惡意插件逼急開發者：32MB的Rust替代品來了

一個開源項目被820個惡意插件寄生，7個CVE漏洞公開，安裝包膨脹到394MB。這不是某個 abandoned 的 side project，而是曾被寄予厚望的 OpenClaw——一個試圖統一AI Agent操作系統的開源框架。

現在，它的替代品出現了。OpenFang，32MB，16層安全架構，用Rust重寫。開發者 Thomas Cherickal 在 HackerNoon 發布了33分鐘的深度技術文檔，把這場"寄生蟲清理運動"的細節全攤開了。

從明星項目到惡意插件溫床

OpenClaw 的設計初衷很美好：給 AI Agent 一個統一的操作系統，讓不同廠商的 Agent 能互相調用、共享工具。但開源的代價很快顯現——任何人都能提交插件，審核機制跟不上，惡意代碼開始批量涌入。

Cherickal 的審計發現了820+個惡意插件，7個已分配 CVE 編號的漏洞，以及一個394MB的臃腫安裝包。這些插件有的竊取 API 密鑰，有的在后臺跑挖礦程序，還有的專門劫持 Agent 的決策流程。最諷刺的是，因為插件生態"豐富"，很多開發者明知道有風險也不敢卸載——他們的工作流已經綁死在上面了。

這像什么？像早期 Android 的第三方應用市場，或者那個經典的"npm 依賴地獄"段子：你的項目引入了 2000 個包，其中 3 個是你真正需要的，剩下 1997 個是這 3 個包的依賴，而第 1998 個包正在竊取你的比特幣。

OpenFang 的解法：Rust + 16層安全架構

Cherickal 沒有試圖修補 OpenClaw。他選擇重寫，用 Rust，從內核開始。

32MB 對 394MB，這個體積對比本身就是一記耳光。Rust 的零成本抽象在這里派上用場——沒有垃圾回收器的運行時負擔，沒有動態鏈接庫的冗余依賴，編譯時就把該扔的東西全扔了。

更關鍵的是那16層安全架構。Cherickal 沒有透露全部細節，但從文檔片段看，這套架構覆蓋了：插件簽名驗證、沙箱隔離、權限最小化、行為監控、內存安全保證、網絡流量審計等。每一層都能獨立啟用或降級，給不同安全需求的場景留足彈性。

一個值得注意的設計是"插件商店"的封閉化。OpenFang 不再接受任意第三方提交，而是走類似 Apple App Store 的審核模式——代價是生態擴張速度會變慢，但惡意插件的入口被大幅收窄。

Agent OS 的殘酷選擇題

OpenClaw 和 OpenFang 的對比，其實是 AI 基礎設施領域的一個經典困境：開放 vs. 安全，生態速度 vs. 質量，社區自治 vs. 中央審核。

Agent 操作系統比普通軟件更敏感。普通 App 被入侵，損失的是一臺設備的數據；Agent 被劫持，它可能代表你發郵件、轉賬、修改代碼倉庫權限。Cherickal 在文檔里引了一個未具名的安全研究員的話：「我們不是在保護一個程序，是在保護這個程序能調用的全部資源。」

但封閉化也有代價。OpenClaw 的 820 個惡意插件背后，是數千個合法插件和活躍的社區貢獻者。OpenFang 的審核模式能擋住惡意代碼，也可能擋住創新——尤其是那些不符合核心團隊價值觀、但確有用戶需求的功能。

394MB 到 32MB 的技術隱喻

體積縮減不只是數字游戲。394MB 意味著漫長的下載、緩慢的啟動、云部署時的帶寬成本；32MB 意味著邊緣設備也能跑、容器鏡像秒級拉取、CI/CD 管道里的緩存友好。

這讓人想起 Docker 早期的一個轉折點：當鏡像體積從 GB 級壓縮到 MB 級，部署頻率從每周一次變成每次提交，整個開發范式都變了。OpenFang 的體積優勢，可能讓 Agent OS 從"數據中心專用"變成"每臺筆記本默認安裝"——這個場景轉換本身，就是最大的產品敘事。

Cherickal 的文檔最后提到，OpenFang 的 v0.1 版本已經能在 Linux 和 macOS 上運行，Windows 支持還在開發中。他沒有給出路線圖時間表，但留了一個 GitHub 倉庫鏈接—— star 數在文章發布后的 48 小時內從 200 漲到了 3400。

一個開發者在 issue 區留言：「我等了兩年有人來解決 OpenClaw 的插件問題，但所有人都在抱怨，沒有人愿意重寫。現在終于有人動手了。」

你會為了安全放棄即插即用的插件自由嗎？還是說，Agent 時代的操作系統注定要在開放與封閉之間反復搖擺——就像智能手機走過的路一樣？