OpenClaw v2026.2.13 is onze meest op beveiliging gerichte release tot nu toe. Met meer dan 20 beveiligingscommits van community-bijdragers dekt deze versie alles van SSRF-kwetsbaarheden tot blootstelling van inloggegevens.
Standaard blokkering van risicovolle tools
Gevaarlijke tools zoals sessions_spawn, sessions_send, gateway en whatsapp_login worden nu standaard geblokkeerd op het HTTP /tools/invoke endpoint. Operators kunnen dit overschrijven via gateway.tools.{allow,deny}, maar de veilige standaard voorkomt dat een gecompromitteerde integratie gevoelige operaties activeert. Dank aan @aether-ai-agent.
Verharding van IP-authenticatie
Breaking change: Canvas IP-authenticatie-fallback accepteert nu alleen interne adressen (RFC1918, link-local, ULA IPv6, CGNAT). Publieke IP's vereisen Bearer Token. Als je afhankelijk was van publieke IP-fallback, schakel dan over naar token-authenticatie. Dank aan @sumleo.
SSRF-bescherming
Loopback-adressen, interne hostpatronen en privé/gemapte IPv6-adressen worden geblokkeerd in link CLI-flows, waarmee een klasse SSRF-bypasses voor intern netwerkscanning wordt gesloten. Dank aan @AI-Reviewer-QS.
Path traversal-fixes
- •Uitvoerpaden van
/trace/stop,/wait/downloaden/downloadzijn beperkt tot tijdelijke mappen; traversal en ontsnapping worden geweigerd. - •Canvas A2UI-assets worden geserveerd via
openFileWithinRoot, waarmee traversal- en TOCTOU-lekken worden gedicht. Dank aan @abdelsfane.
Bescherming van inloggegevens
WhatsApp creds.json dwingt 0o600-rechten af bij opslaan, backup en herstel. Configuratieschrijfacties behouden ${VAR}-verwijzingen zodat geheimen niet per ongeluk in platte tekst naar schijf worden geschreven. Dank aan @abdelsfane, @thewilloftheshadow.
ACP- en rechtenverharding
ACP-rechtenselectie faalt gesloten bij onduidelijke tool-identiteit of -opties, met ondersteuning voor allow_always/reject_always. Node-exec-goedkeuring faalt eveneens gesloten bij onverwachte beslissingen. Dank aan @aether-ai-agent, @rmorse.
Sandbox-verbeteringen
sandbox.docker.env-variabelen worden nu correct doorgegeven aan containers bij docker create. De beveiligingsaudit onderscheidt externe webhooks van interne hooks om valse positieven te voorkomen. Dank aan @stevebot-alive, @mcaxtr.
Logging en audit
- •Onbetrouwbare WebSocket-headerwaarden worden gesaneerd en afgekapt in handshake-logs om het risico op log-poisoning te verminderen.
- •Configuratie-overschrijvingen registreren auditrecords voor traceerbaarheid.
- •Controles toegevoegd voor sandbox-configuratie, ineffectieve deny-regels en bereikbaarheid van extensie-plugins.
Android-beveiliging
App-updates vereisen HTTPS + gateway-hostovereenkomst + SHA-256-verificatie. Cameradownloads worden gestreamd naar schijf met groottelimieten. Release-builds gebruiken geen debug-ondertekeningssleutels meer. Dank aan @smartprogrammer93.
Overige beveiligingsfixes
- •Strikte binding-scope-matching voorkomt routinglekken tussen contexten. Dank aan @lailoo.
- •Heredoc toegestaan maar commandokoppeling via regelovergang geblokkeerd. Dank aan @mcaxtr.
- •Richtlijnen voor multi-user DM-isolatie verduidelijkt. Dank aan @VintLin.
Meer dan beveiliging
Deze release bevat ook Discord-spraakberichten (met golfvormvoorbeeld), configureerbare aanwezigheidsstatus, Hugging Face Inference-ondersteuning, OpenAI Codex/Spark-integratie, een write-ahead-wachtrij voor crashherstel en tientallen platformspecifieke fixes. Meer dan 50 bijdragers hebben meegewerkt. De volledige changelog staat op GitHub.
