OpenClaw v2026.2.13 es nuestra versión más centrada en seguridad hasta la fecha. Con más de 20 commits de seguridad de colaboradores de la comunidad, esta versión aborda desde vulnerabilidades SSRF hasta exposición de credenciales.
Bloqueo de herramientas de alto riesgo
Herramientas peligrosas como sessions_spawn, sessions_send, gateway y whatsapp_login ahora están bloqueadas por defecto en el endpoint HTTP /tools/invoke. Los operadores pueden anularlo con gateway.tools.{allow,deny}, pero el valor seguro por defecto impide que una integración comprometida active operaciones sensibles. Gracias @aether-ai-agent.
Endurecimiento de autenticación por IP
Cambio incompatible: la autenticación por IP de Canvas ahora solo acepta direcciones internas (RFC1918, link-local, ULA IPv6, CGNAT). Las IP públicas requieren Bearer Token. Si dependías del fallback por IP pública, necesitas migrar a autenticación por token. Gracias @sumleo.
Protección SSRF
Se bloquean direcciones loopback, patrones de host internos e IPv6 privadas/mapeadas en los flujos de enlace CLI, cerrando una clase de bypasses SSRF que permitían escaneo de red interna. Gracias @AI-Reviewer-QS.
Correcciones de path traversal
- •Las rutas de salida de
/trace/stop,/wait/downloady/downloadse restringen al directorio temporal, rechazando traversal y escape. - •Los assets A2UI de Canvas se sirven mediante
openFileWithinRoot, cerrando traversal y condiciones TOCTOU. Gracias @abdelsfane.
Protección de credenciales
WhatsApp creds.json aplica permisos 0o600 en guardado, respaldo y restauración. La escritura de configuración preserva las referencias ${VAR} para no persistir secretos en texto plano. Gracias @abdelsfane, @thewilloftheshadow.
ACP y endurecimiento de permisos
La selección de permisos ACP falla cerrada cuando la identidad o las opciones de la herramienta son ambiguas, soportando allow_always/reject_always. La aprobación de ejecución de nodos también falla cerrada ante decisiones inesperadas. Gracias @aether-ai-agent, @rmorse.
Mejoras de sandbox
Las variables sandbox.docker.env ahora se pasan correctamente a los contenedores en docker create. La auditoría de seguridad distingue webhooks externos de hooks internos para evitar falsos positivos. Gracias @stevebot-alive, @mcaxtr.
Logs y auditoría
- •Los valores de headers no confiables en logs de WebSocket se sanitizan y truncan para reducir el riesgo de log poisoning.
- •Las sobreescrituras de configuración registran entradas de auditoría para trazabilidad.
- •Se añaden verificaciones de configuración de sandbox, reglas deny inefectivas y alcanzabilidad de plugins de extensión.
Seguridad Android
Las actualizaciones de la app requieren HTTPS + coincidencia de host del gateway + verificación SHA-256. Las descargas de cámara se escriben en streaming con límite de tamaño. Las builds de release ya no usan claves de firma de depuración. Gracias @smartprogrammer93.
Otras correcciones de seguridad
- •Coincidencia estricta de ámbito de binding para prevenir fugas de enrutamiento entre contextos. Gracias @lailoo.
- •Se permite heredoc pero se bloquea el encadenamiento de comandos por salto de línea. Gracias @mcaxtr.
- •Se clarifica la guía de aislamiento de DM multiusuario. Gracias @VintLin.
Más allá de la seguridad
Esta versión también incluye mensajes de voz en Discord (con vista previa de forma de onda), estado de presencia configurable, soporte de Hugging Face Inference, integración OpenAI Codex/Spark, cola de entrega write-ahead para recuperación ante fallos y decenas de correcciones multiplataforma. Más de 50 colaboradores participaron. El changelog completo está en GitHub.
