OpenClaw v2026.2.13 はセキュリティに最も注力したリリースです。コミュニティの貢献者から 20 件以上のセキュリティ関連コミットが寄せられ、SSRF 脆弱性から認証情報の漏洩まで幅広く対処しています。
高リスクツールのデフォルトブロック
sessions_spawn、sessions_send、gateway、whatsapp_login などの高リスクツールは、HTTP /tools/invoke エンドポイントからのデフォルト呼び出しがブロックされました。運用者は gateway.tools.{allow,deny} で上書き可能ですが、デフォルトで安全な状態になります。@aether-ai-agent に感謝。
IP 認証の厳格化
破壊的変更:Canvas の IP 認証フォールバックは内部アドレス(RFC1918、リンクローカル、ULA IPv6、CGNAT)のみ受け付けるようになりました。パブリック IP は Bearer Token が必要です。@sumleo に感謝。
SSRF 対策
リンク CLI フローで、ループバック・内部ホストパターン・プライベート/マッピング IPv6 アドレスをブロックし、内部ネットワーク探索に悪用可能な SSRF バイパスを封鎖しました。@AI-Reviewer-QS に感謝。
パストラバーサル修正
- •
/trace/stop、/wait/download、/downloadの出力パスを一時ディレクトリ内に制限し、トラバーサルを拒否。 - •Canvas A2UI アセットは
openFileWithinRoot経由で提供し、トラバーサルと TOCTOU を封鎖。@abdelsfane に感謝。
認証情報の保護
WhatsApp creds.json の保存・バックアップ・復元時に 0o600 権限を強制。設定書き込みで ${VAR} 環境変数参照を保持し、シークレットの平文書き出しを防止。@abdelsfane、@thewilloftheshadow に感謝。
ACP と権限の強化
ACP 権限選択はツール ID やオプションが曖昧な場合にデフォルト拒否し、allow_always/reject_always をサポート。ノード実行承認も想定外の判定時にデフォルト拒否。@aether-ai-agent、@rmorse に感謝。
サンドボックス改善
sandbox.docker.env 環境変数が docker create 時にコンテナへ正しく渡されるようになりました。セキュリティ監査は外部 Webhook と内部フックを区別し、誤検知を回避。@stevebot-alive、@mcaxtr に感謝。
ログと監査
- •WebSocket ハンドシェイクログで信頼できないヘッダー値をサニタイズ・切り詰め、ログポイズニングリスクを低減。
- •設定上書き時に監査エントリを記録し、トレーサビリティを向上。
- •サンドボックス設定、無効な deny ルール、拡張プラグイン到達性の検査を追加。
Android セキュリティ
アプリ更新に HTTPS + ゲートウェイホスト一致 + SHA-256 検証を要求。カメラダウンロードはサイズ制限付きでストリーム書き込み。リリースビルドでデバッグ署名鍵を使用しないように変更。@smartprogrammer93 に感謝。
その他のセキュリティ修正
- •バインディングスコープの厳密な一致により、コンテキスト間のルーティング漏洩を防止。@lailoo に感謝。
- •heredoc は許可しつつ、改行によるコマンドチェーンはブロック。@mcaxtr に感謝。
- •マルチユーザー DM 分離のガイダンスを明確化。@VintLin に感謝。
セキュリティ以外
Discord 音声メッセージ(波形プレビュー付き)、設定可能なプレゼンスステータス、Hugging Face Inference プロバイダー対応、OpenAI Codex/Spark 統合、クラッシュリカバリ用先行書き込みキューなど多数の改善を含みます。50 名以上の貢献者が参加。完全な変更ログは GitHub をご覧ください。
