今天 axios 带来的供应链投毒事件，给行业带来了不小的注意力，OpenClaw 一个多小时前也强制锁了依赖模块的版本。 为了给大家一个更直观的风险感知，我统计了下，OpenClaw 三方模块依赖图，1,246 个三方模块，2,672 条依赖路径。就是这么的多…当然也可能有些统计偏差，三方 Skills 引入的也都没统计。 锁依赖版本是必须的安全实践，否则 1,246 个三方模块，任意一个被投毒，都可能干掉 OpenClaw… 软件工程从而不是件简单的事，AI 再强也会犯错，保持警惕吧。 要浪，就独立设备浪🌊免得被一窝端…