OpenClaw v2026.2.13 ist unser bisher sicherheitsfokussiertestes Release. Über 20 sicherheitsrelevante Commits aus der Community decken alles von SSRF-Schwachstellen bis zur Offenlegung von Zugangsdaten ab.
Standardmäßige Blockierung risikoreicher Tools
sessions_spawn, sessions_send, gateway und whatsapp_login werden jetzt standardmäßig am HTTP-Endpunkt /tools/invoke blockiert. Betreiber können dies über gateway.tools.{allow,deny} überschreiben, aber der sichere Standard verhindert, dass eine kompromittierte Integration sensible Operationen auslöst. Danke @aether-ai-agent.
IP-Authentifizierung verschärft
Breaking Change: Canvas IP-Auth-Fallback akzeptiert nur noch interne Adressen (RFC1918, Link-Local, ULA IPv6, CGNAT). Öffentliche IPs erfordern Bearer Token. Wer auf öffentlichen IP-Fallback angewiesen war, muss auf Token-Authentifizierung umstellen. Danke @sumleo.
SSRF-Schutz
Loopback-Adressen, interne Host-Muster und private/gemappte IPv6-Adressen werden in Link-CLI-Flows blockiert. Damit wird eine Klasse von SSRF-Bypasses geschlossen, die internes Netzwerk-Scanning ermöglicht hätten. Danke @AI-Reviewer-QS.
Path-Traversal-Korrekturen
- •Ausgabepfade von
/trace/stop,/wait/downloadund/downloadsind auf temporäre Verzeichnisse beschränkt; Traversal und Ausbruch werden abgelehnt. - •Canvas A2UI-Assets werden über
openFileWithinRootbereitgestellt und schließen Traversal- und TOCTOU-Lücken. Danke @abdelsfane.
Schutz von Zugangsdaten
WhatsApp creds.json erzwingt bei Speichern, Backup und Wiederherstellung 0o600-Berechtigungen. Konfigurationsschreibvorgänge bewahren ${VAR}-Umgebungsvariablen-Referenzen, sodass Geheimnisse nicht versehentlich im Klartext auf die Festplatte geschrieben werden. Danke @abdelsfane, @thewilloftheshadow.
ACP- und Berechtigungshärtung
Die ACP-Berechtigungsauswahl verweigert standardmäßig bei mehrdeutiger Tool-Identität oder -Optionen und unterstützt allow_always/reject_always. Node-Exec-Genehmigungen verweigern ebenfalls standardmäßig bei unerwarteten Entscheidungen. Danke @aether-ai-agent, @rmorse.
Sandbox-Verbesserungen
sandbox.docker.env-Umgebungsvariablen werden bei docker create korrekt an Container übergeben. Das Sicherheitsaudit unterscheidet externe Webhooks von internen Hooks, um Fehlalarme zu vermeiden. Danke @stevebot-alive, @mcaxtr.
Log und Audit
- •Nicht vertrauenswürdige WebSocket-Header-Werte werden in Handshake-Logs bereinigt und gekürzt, um Log-Poisoning-Risiken zu reduzieren.
- •Konfigurationsüberschreibungen protokollieren Audit-Einträge für Nachvollziehbarkeit.
- •Neue Prüfungen für Sandbox-Konfiguration, unwirksame Deny-Regeln und Erreichbarkeit von Erweiterungs-Plugins.
Android-Sicherheit
App-Updates erfordern HTTPS + Gateway-Host-Abgleich + SHA-256-Verifizierung. Kamera-Downloads werden mit Größenbegrenzung gestreamt. Release-Builds verwenden keine Debug-Signaturschlüssel mehr. Danke @smartprogrammer93.
Weitere Sicherheitskorrekturen
- •Strikte Binding-Scope-Zuordnung verhindert kontextübergreifende Routing-Lecks. Danke @lailoo.
- •Heredoc ist erlaubt, Zeilenumbruch-Befehlsverkettung bleibt blockiert. Danke @mcaxtr.
- •Leitfaden zur Multi-User-DM-Isolation wurde verdeutlicht. Danke @VintLin.
Über Sicherheit hinaus
Dieses Release enthält außerdem Discord-Sprachnachrichten (mit Wellenform-Vorschau), konfigurierbaren Präsenzstatus, Hugging Face Inference-Unterstützung, OpenAI Codex/Spark-Integration, eine Write-Ahead-Warteschlange für Crash-Recovery und zahlreiche plattformspezifische Korrekturen. Über 50 Mitwirkende haben beigetragen. Das vollständige Changelog ist auf GitHub.
