820个恶意插件逼急开发者：32MB的Rust替代品来了

一个开源项目被820个恶意插件寄生，7个CVE漏洞公开，安装包膨胀到394MB。这不是某个 abandoned 的 side project，而是曾被寄予厚望的 OpenClaw——一个试图统一AI Agent操作系统的开源框架。

现在，它的替代品出现了。OpenFang，32MB，16层安全架构，用Rust重写。开发者 Thomas Cherickal 在 HackerNoon 发布了33分钟的深度技术文档，把这场"寄生虫清理运动"的细节全摊开了。

从明星项目到恶意插件温床

OpenClaw 的设计初衷很美好：给 AI Agent 一个统一的操作系统，让不同厂商的 Agent 能互相调用、共享工具。但开源的代价很快显现——任何人都能提交插件，审核机制跟不上，恶意代码开始批量涌入。

Cherickal 的审计发现了820+个恶意插件，7个已分配 CVE 编号的漏洞，以及一个394MB的臃肿安装包。这些插件有的窃取 API 密钥，有的在后台跑挖矿程序，还有的专门劫持 Agent 的决策流程。最讽刺的是，因为插件生态"丰富"，很多开发者明知道有风险也不敢卸载——他们的工作流已经绑死在上面了。

这像什么？像早期 Android 的第三方应用市场，或者那个经典的"npm 依赖地狱"段子：你的项目引入了 2000 个包，其中 3 个是你真正需要的，剩下 1997 个是这 3 个包的依赖，而第 1998 个包正在窃取你的比特币。

OpenFang 的解法：Rust + 16层安全架构

Cherickal 没有试图修补 OpenClaw。他选择重写，用 Rust，从内核开始。

32MB 对 394MB，这个体积对比本身就是一记耳光。Rust 的零成本抽象在这里派上用场——没有垃圾回收器的运行时负担，没有动态链接库的冗余依赖，编译时就把该扔的东西全扔了。

更关键的是那16层安全架构。Cherickal 没有透露全部细节，但从文档片段看，这套架构覆盖了：插件签名验证、沙箱隔离、权限最小化、行为监控、内存安全保证、网络流量审计等。每一层都能独立启用或降级，给不同安全需求的场景留足弹性。

一个值得注意的设计是"插件商店"的封闭化。OpenFang 不再接受任意第三方提交，而是走类似 Apple App Store 的审核模式——代价是生态扩张速度会变慢，但恶意插件的入口被大幅收窄。

Agent OS 的残酷选择题

OpenClaw 和 OpenFang 的对比，其实是 AI 基础设施领域的一个经典困境：开放 vs. 安全，生态速度 vs. 质量，社区自治 vs. 中央审核。

Agent 操作系统比普通软件更敏感。普通 App 被入侵，损失的是一台设备的数据；Agent 被劫持，它可能代表你发邮件、转账、修改代码仓库权限。Cherickal 在文档里引了一个未具名的安全研究员的话：「我们不是在保护一个程序，是在保护这个程序能调用的全部资源。」

但封闭化也有代价。OpenClaw 的 820 个恶意插件背后，是数千个合法插件和活跃的社区贡献者。OpenFang 的审核模式能挡住恶意代码，也可能挡住创新——尤其是那些不符合核心团队价值观、但确有用户需求的功能。

394MB 到 32MB 的技术隐喻

体积缩减不只是数字游戏。394MB 意味着漫长的下载、缓慢的启动、云部署时的带宽成本；32MB 意味着边缘设备也能跑、容器镜像秒级拉取、CI/CD 管道里的缓存友好。

这让人想起 Docker 早期的一个转折点：当镜像体积从 GB 级压缩到 MB 级，部署频率从每周一次变成每次提交，整个开发范式都变了。OpenFang 的体积优势，可能让 Agent OS 从"数据中心专用"变成"每台笔记本默认安装"——这个场景转换本身，就是最大的产品叙事。

Cherickal 的文档最后提到，OpenFang 的 v0.1 版本已经能在 Linux 和 macOS 上运行，Windows 支持还在开发中。他没有给出路线图时间表，但留了一个 GitHub 仓库链接—— star 数在文章发布后的 48 小时内从 200 涨到了 3400。

一个开发者在 issue 区留言：「我等了两年有人来解决 OpenClaw 的插件问题，但所有人都在抱怨，没有人愿意重写。现在终于有人动手了。」

你会为了安全放弃即插即用的插件自由吗？还是说，Agent 时代的操作系统注定要在开放与封闭之间反复摇摆——就像智能手机走过的路一样？