OpenClaw v2026.2.13은 보안에 가장 집중한 릴리스입니다. 커뮤니티 기여자들이 20건 이상의 보안 관련 커밋을 제출하여 SSRF 취약점부터 자격 증명 노출까지 폭넓게 대응했습니다.
고위험 도구 기본 차단
sessions_spawn, sessions_send, gateway, whatsapp_login 등 고위험 도구가 HTTP /tools/invoke 엔드포인트에서 기본 차단됩니다. 운영자는 gateway.tools.{allow,deny}로 재정의할 수 있지만, 기본값이 안전하므로 통합이 침해되더라도 민감한 작업을 직접 트리거할 수 없습니다. @aether-ai-agent 감사합니다.
IP 인증 강화
호환성 변경: Canvas IP 인증 폴백이 내부 주소(RFC1918, 링크 로컬, ULA IPv6, CGNAT)만 허용합니다. 공인 IP는 Bearer Token이 필요합니다. 기존에 공인 IP 폴백에 의존했다면 토큰 기반 인증으로 전환해야 합니다. @sumleo 감사합니다.
SSRF 방어
링크 CLI 흐름에서 루프백, 내부 호스트 패턴, 프라이빗/매핑 IPv6 주소를 차단하여 내부 네트워크 스캔에 악용 가능한 SSRF 우회를 차단했습니다. @AI-Reviewer-QS 감사합니다.
경로 탐색 수정
- •
/trace/stop,/wait/download,/download출력 경로를 임시 디렉터리 내로 제한하여 탐색 및 이탈을 거부합니다. - •Canvas A2UI 자산은
openFileWithinRoot를 통해 제공하여 경로 탐색과 TOCTOU를 차단합니다. @abdelsfane 감사합니다.
자격 증명 보호
WhatsApp creds.json 저장, 백업, 복원 시 0o600 권한을 강제합니다. 설정 쓰기 시 ${VAR} 환경 변수 참조를 보존하여 비밀 키가 평문으로 디스크에 기록되는 것을 방지합니다. @abdelsfane, @thewilloftheshadow 감사합니다.
ACP 및 권한 강화
ACP 권한 선택은 도구 ID나 옵션이 모호할 때 기본 거부하며, allow_always/reject_always를 지원합니다. 노드 실행 승인도 예상치 못한 결정 시 기본 거부합니다. @aether-ai-agent, @rmorse 감사합니다.
샌드박스 개선
sandbox.docker.env 환경 변수가 docker create 시 컨테이너에 올바르게 전달됩니다. 보안 감사는 외부 웹훅과 내부 훅을 구분하여 오탐을 방지합니다. @stevebot-alive, @mcaxtr 감사합니다.
로그 및 감사
- •WebSocket 핸드셰이크 로그에서 신뢰할 수 없는 헤더 값을 정리 및 절삭하여 로그 포이즈닝 위험을 줄입니다.
- •설정 덮어쓰기 시 감사 항목을 기록하여 추적성을 향상합니다.
- •샌드박스 설정, 무효 deny 규칙, 확장 플러그인 도달성 검사를 추가합니다.
Android 보안
앱 업데이트에 HTTPS + 게이트웨이 호스트 매칭 + SHA-256 검증을 요구합니다. 카메라 다운로드는 크기 제한과 함께 스트림 방식으로 디스크에 기록합니다. 릴리스 빌드에서 디버그 서명 키를 더 이상 사용하지 않습니다. @smartprogrammer93 감사합니다.
기타 보안 수정
- •엄격한 바인딩 범위 매칭으로 컨텍스트 간 라우팅 누출을 방지합니다. @lailoo 감사합니다.
- •heredoc은 허용하되 줄바꿈 명령 체이닝은 차단합니다. @mcaxtr 감사합니다.
- •다중 사용자 DM 격리 가이드를 명확히 했습니다. @VintLin 감사합니다.
보안 외
Discord 음성 메시지(파형 미리보기 포함), 구성 가능한 프레즌스 상태, Hugging Face Inference 지원, OpenAI Codex/Spark 통합, 크래시 복구용 선행 기록 큐 등 다수의 개선이 포함됩니다. 50명 이상의 기여자가 참여했습니다. 전체 변경 로그는 GitHub에서 확인하세요.
