Rust 1.94.1 修補回歸與 Cargo CVE

Rust 1.94.1 在 2026 年 3 月 26 日推出。這版很小，但很務實。它一次修掉 3 個回歸，還順手補了 Cargo 的安全問題。

說真的，這種點版號最容易被忽略。可是在 Rust 世界裡，點版更新常常就是你今晚會不會被 CI 搞到崩潰的分水嶺。

升級也不麻煩。官方建議直接用 rustup 跑 rustup update stable。如果你平常就靠 stable 版開發，這次真的該排進維護清單。

這版到底修了什麼

Rust 1.94.1 的主軸很清楚。第一，是修掉 1.94.0 帶來的 3 個回歸。第二，是處理 Cargo 的 tar 套件安全問題。第三，是把一些會影響實際開發流程的 bug 收掉。

其中 2 個回歸在編譯器與標準函式庫，另一個在 Clippy。這種組合不算華麗，但很貼近真實工作場景。你可能只是想跑 lint，結果直接撞到 ICE，整個流程卡死，超煩。

官方這次列出的重點很直接。我把它整理成幾個比較好懂的項目。你會看到它碰到 WebAssembly、Windows、lint、以及 Cargo 本體。

• 修正 std::thread::spawn 在 wasm32-wasip1-threads 的行為
• 移除 std::os::windows::fs::OpenOptionsExt 新增的方法
• 修掉 Clippy 的 match_same_arms ICE
• 將 Cargo 的 curl-sys 降到 0.4.83
• 把 Cargo 的 tar 更新到 0.4.45

前 3 項是開發體驗問題。後 2 項比較像維運警報。尤其是 tar 更新，直接對應到 CVE-2026-33055 與 CVE-2026-33056。講白了，這不是「有空再說」的更新。

如果你有在做跨平台工具，這版的影響會更明顯。WASI、Windows、CI、套件下載，幾乎每條線都碰得到。

為什麼這種點版很重要

很多人看到 1.94.1，會覺得只是小修小補。這種想法很正常，但也很危險。因為 Rust 的工具鏈是一整套。編譯器、標準函式庫、Clippy、Cargo，彼此都會互相影響。

只要其中一層出事，其他層也會跟著倒楣。你今天可能沒改程式碼，但只要升級 toolchain，build 就可能出現不一樣的結果。這就是為什麼點版更新常常比主版本還實際。

官方文件對點版的定義也很直白。The Rust Book 說得很清楚：點版是拿來修 bug 和安全漏洞的。

“A point release is a release that is made to fix bugs and security vulnerabilities.” — The Rust Book

這句話很適合拿來看 1.94.1。它不是在賣新功能。它是在把工具鏈拉回穩定狀態。對每天都要出版本的團隊來說，這比多一個語法糖實際多了。

我自己的看法很簡單。Rust 團隊真正厲害的地方，不是每次都端出大新聞，而是連這種小版號都不亂搞。說白了，這才是開發者會信任它的原因。

拿數字來看，這版其實不小

Rust 1.94.1 看起來很短，但數字不小。它修了 3 個回歸，處理了 2 個 CVE，還動到 2 個不同的依賴。這代表它不是單點修補，而是一次清掉多個風險面。

如果拆開看，就更有感。std::thread::spawn 影響執行期。OpenOptionsExt 影響 Windows 檔案 API。Clippy 影響 lint 流程。Cargo 則影響套件解析與封裝。

你可以把這些面向想成一條完整管線。前端開發者可能只碰到 Cargo。後端團隊會碰到編譯器與測試。平台團隊還要管容器、CI、映像檔和釋出流程。任何一段出問題，都會拖慢整個團隊。

• std::thread::spawn：影響 thread 啟動
• OpenOptionsExt：影響 Windows 檔案操作
• Cargo：影響依賴與套件處理
• Clippy：影響 lint 與程式碼檢查

再看競品，這種點版節奏其實很像 Go 或 Python 的安全修補版。差別在於 Rust 對工具鏈一致性更敏感。因為它不只是一門語言，還是一套很完整的建置系統。

如果拿數字講白一點，這版修 3 個回歸、補 2 個 CVE、調整 2 個依賴。對一個點版來說，這已經算很有內容了。不是那種只改 changelog 的假更新。

跟其他語言工具鏈比起來

Rust 的點版策略，跟很多語言不太一樣。它很少在點版塞新功能。多半是修正、回收、補洞。這讓企業團隊比較好控管，也比較容易決定升級時機。

拿 Go 來說，點版通常也偏向修 bug 和安全問題。Python 的維護版也是類似節奏。差別在 Rust 的工具鏈整合度更高，所以一個小改動，可能同時碰到編譯器、lint、套件管理。

這次 Cargo 更新尤其值得看。它不是單純換版本號，而是直接處理 tar 套件的安全風險。對 CI 來說，這種更新會影響下載、解壓、封裝，甚至 release pipeline 的行為。

• Rust：工具鏈整合高，點版常牽動多層
• Go：點版偏向穩定與安全修補
• Python：維護版主要處理 bug 與漏洞
• CI 系統：最怕套件下載與封裝鏈出事

如果你是維運或平台工程師，這類更新通常比一般開發者更值得盯。因為你的系統會自動吃到新 toolchain。你不一定手動升級，但你的 pipeline 可能早就被影響了。

我會建議把 Rust 1.94.1 當成安全更新看待，而不是一般功能更新。這樣比較不會低估它的優先級。

背景也要補一下

Rust 之所以常被拿來做系統程式、CLI 工具、基礎服務，原因很簡單。它對記憶體安全的要求高，對工具鏈的紀律也高。這讓它很適合被放進需要長期維護的專案。

但代價也很明顯。只要 compiler、標準函式庫、Cargo 或 Clippy 有一個環節出錯，整個開發流程都會很痛。這也是為什麼 Rust 的 release engineering 一直很重要。它不能只靠大版本撐場面。

這次 1.94.1 的內容，剛好把這件事講得很清楚。它沒有新語法，沒有新 API，但它修掉了真實會撞到的問題。對工程團隊來說，這種更新才是最實用的。

如果你平常有在用 Rust 的原始碼倉庫，也會知道維護型修補通常不會太吵。可是一旦牽涉到 CVE，事情就不一樣了。安全團隊會看，平台團隊會看，發版團隊也會看。

我會怎麼建議你處理

如果你已經用 rustup 管 Rust，我的建議很直接：先升 stable，再跑完整測試。尤其是有用 WASI、Windows 檔案 API、Clippy，或自動化 Cargo 流程的專案，更該先驗證。

如果你有固定的 Docker image 或 CI cache，也別只升本機。把建置容器一起更新，才不會出現本機過了、CI 掛掉的老問題。這種事真的很常見，而且很浪費時間。

我對這版的預測也很明確。1.94.1 會先在企業 CI、發版管線、以及有安全稽核的團隊裡快速落地。因為它修的不是炫技功能，而是會直接影響穩定性和風險控管的東西。你如果現在還沒排升級，至少今天就該先確認測試環境能不能順利吃進去。

講白了，Rust 1.94.1 不需要你興奮。它只需要你認真。這種版本，通常才是最值得裝的那一種。