OpenClaw v2026.2.13 è il nostro rilascio più incentrato sulla sicurezza. Oltre 20 commit di sicurezza dalla community coprono tutto, dalle vulnerabilità SSRF all'esposizione delle credenziali.
Blocco degli strumenti ad alto rischio
Strumenti pericolosi come sessions_spawn, sessions_send, gateway e whatsapp_login sono ora bloccati di default sull'endpoint HTTP /tools/invoke. Gli operatori possono sovrascrivere tramite gateway.tools.{allow,deny}, ma il default sicuro impedisce a un'integrazione compromessa di attivare operazioni sensibili. Grazie @aether-ai-agent.
Rafforzamento dell'autenticazione IP
Breaking change: il fallback di autenticazione IP di Canvas accetta ora solo indirizzi interni (RFC1918, link-local, ULA IPv6, CGNAT). Gli IP pubblici richiedono Bearer Token. Chi dipendeva dal fallback IP pubblico deve passare all'autenticazione tramite token. Grazie @sumleo.
Protezione SSRF
Indirizzi loopback, pattern di host interni e IPv6 privati/mappati sono bloccati nei flussi link CLI, chiudendo una classe di bypass SSRF che avrebbe permesso la scansione della rete interna. Grazie @AI-Reviewer-QS.
Correzioni path traversal
- •I percorsi di output di
/trace/stop,/wait/downloade/downloadsono limitati alle directory temporanee, rifiutando traversal ed escape. - •Gli asset A2UI di Canvas sono serviti tramite
openFileWithinRoot, chiudendo falle di traversal e TOCTOU. Grazie @abdelsfane.
Protezione delle credenziali
WhatsApp creds.json impone permessi 0o600 in salvataggio, backup e ripristino. La scrittura della configurazione preserva i riferimenti ${VAR} per non persistere segreti in chiaro su disco. Grazie @abdelsfane, @thewilloftheshadow.
ACP e rafforzamento dei permessi
La selezione dei permessi ACP fallisce in modalità chiusa quando l'identità o le opzioni dello strumento sono ambigue, supportando allow_always/reject_always. L'approvazione dell'esecuzione dei nodi fallisce anch'essa in modalità chiusa su decisioni inattese. Grazie @aether-ai-agent, @rmorse.
Miglioramenti sandbox
Le variabili sandbox.docker.env vengono ora passate correttamente ai container durante docker create. L'audit di sicurezza distingue webhook esterni da hook interni per evitare falsi positivi. Grazie @stevebot-alive, @mcaxtr.
Log e audit
- •I valori degli header WebSocket non attendibili vengono sanificati e troncati nei log di handshake per ridurre il rischio di log poisoning.
- •Le sovrascritture di configurazione registrano voci di audit per la tracciabilità.
- •Aggiunte verifiche per configurazione sandbox, regole deny inefficaci e raggiungibilità dei plugin di estensione.
Sicurezza Android
Gli aggiornamenti dell'app richiedono HTTPS + corrispondenza host gateway + verifica SHA-256. I download della fotocamera vengono scritti in streaming con limite di dimensione. Le build di release non usano più chiavi di firma di debug. Grazie @smartprogrammer93.
Altre correzioni di sicurezza
- •Corrispondenza rigorosa dell'ambito di binding per prevenire fughe di routing tra contesti. Grazie @lailoo.
- •Heredoc consentito ma concatenamento comandi tramite a capo bloccato. Grazie @mcaxtr.
- •Guida all'isolamento DM multi-utente chiarita. Grazie @VintLin.
Oltre la sicurezza
Questa versione include anche messaggi vocali Discord (con anteprima forma d'onda), stato di presenza configurabile, supporto Hugging Face Inference, integrazione OpenAI Codex/Spark, coda write-ahead per il recupero da crash e decine di correzioni multipiattaforma. Oltre 50 contributori hanno partecipato. Il changelog completo è su GitHub.
