OpenClaw v2026.2.13 est notre version la plus axée sur la sécurité à ce jour. Plus de 20 commits de sécurité provenant de la communauté couvrent tout, des vulnérabilités SSRF à l'exposition des identifiants.
Blocage des outils à haut risque
Les outils dangereux comme sessions_spawn, sessions_send, gateway et whatsapp_login sont désormais bloqués par défaut sur le endpoint HTTP /tools/invoke. Les opérateurs peuvent modifier ce comportement via gateway.tools.{allow,deny}, mais la valeur par défaut sécurisée empêche une intégration compromise de déclencher des opérations sensibles. Merci @aether-ai-agent.
Renforcement de l'authentification IP
Changement incompatible : le fallback d'authentification IP de Canvas n'accepte plus que les adresses internes (RFC1918, link-local, ULA IPv6, CGNAT). Les IP publiques nécessitent un Bearer Token. Si vous dépendiez du fallback par IP publique, passez à l'authentification par token. Merci @sumleo.
Protection SSRF
Les adresses loopback, les patterns d'hôtes internes et les adresses IPv6 privées/mappées sont bloquées dans les flux CLI de liens, fermant une classe de contournements SSRF permettant le scan réseau interne. Merci @AI-Reviewer-QS.
Corrections de path traversal
- •Les chemins de sortie de
/trace/stop,/wait/downloadet/downloadsont restreints aux répertoires temporaires, rejetant traversal et évasion. - •Les assets A2UI de Canvas sont servis via
openFileWithinRoot, fermant les failles de traversal et TOCTOU. Merci @abdelsfane.
Protection des identifiants
WhatsApp creds.json impose les permissions 0o600 lors de la sauvegarde, du backup et de la restauration. L'écriture de configuration préserve les références ${VAR} pour ne pas persister les secrets en clair sur le disque. Merci @abdelsfane, @thewilloftheshadow.
ACP et renforcement des permissions
La sélection de permissions ACP échoue en mode fermé lorsque l'identité ou les options de l'outil sont ambiguës, avec support de allow_always/reject_always. L'approbation d'exécution de nœuds échoue également en mode fermé sur les décisions inattendues. Merci @aether-ai-agent, @rmorse.
Améliorations du sandbox
Les variables sandbox.docker.env sont correctement transmises aux conteneurs lors du docker create. L'audit de sécurité distingue les webhooks externes des hooks internes pour éviter les faux positifs. Merci @stevebot-alive, @mcaxtr.
Logs et audit
- •Les valeurs d'en-têtes WebSocket non fiables sont assainies et tronquées dans les logs de handshake pour réduire le risque de log poisoning.
- •Les écrasements de configuration enregistrent des entrées d'audit pour la traçabilité.
- •Ajout de vérifications pour la configuration sandbox, les règles deny inefficaces et l'accessibilité des plugins d'extension.
Sécurité Android
Les mises à jour de l'app exigent HTTPS + correspondance d'hôte gateway + vérification SHA-256. Les téléchargements caméra sont écrits en streaming avec limite de taille. Les builds de release n'utilisent plus de clés de signature de débogage. Merci @smartprogrammer93.
Autres corrections de sécurité
- •Correspondance stricte de portée de binding pour prévenir les fuites de routage inter-contextes. Merci @lailoo.
- •Heredoc autorisé mais chaînage de commandes par saut de ligne bloqué. Merci @mcaxtr.
- •Guide d'isolation DM multi-utilisateurs clarifié. Merci @VintLin.
Au-delà de la sécurité
Cette version inclut aussi les messages vocaux Discord (avec aperçu de forme d'onde), un statut de présence configurable, le support Hugging Face Inference, l'intégration OpenAI Codex/Spark, une file d'attente write-ahead pour la récupération après crash et des dizaines de corrections multiplateformes. Plus de 50 contributeurs ont participé. Le changelog complet est sur GitHub.
