OpenClaw v2026.2.13 to nasze najbardziej ukierunkowane na bezpieczeństwo wydanie. Ponad 20 commitów bezpieczeństwa od społeczności obejmuje wszystko — od podatności SSRF po wyciek poświadczeń.
Domyślne blokowanie narzędzi wysokiego ryzyka
sessions_spawn, sessions_send, gateway i whatsapp_login są teraz domyślnie blokowane na endpoincie HTTP /tools/invoke. Operatorzy mogą to nadpisać przez gateway.tools.{allow,deny}, ale bezpieczna wartość domyślna uniemożliwia skompromitowanej integracji uruchamianie wrażliwych operacji. Dzięki @aether-ai-agent.
Wzmocnienie uwierzytelniania IP
Zmiana łamiąca: fallback uwierzytelniania IP w Canvas akceptuje teraz tylko adresy wewnętrzne (RFC1918, link-local, ULA IPv6, CGNAT). Publiczne IP wymagają Bearer Token. Jeśli polegałeś na fallbacku publicznego IP, przejdź na uwierzytelnianie tokenem. Dzięki @sumleo.
Ochrona przed SSRF
Adresy loopback, wewnętrzne wzorce hostów i prywatne/mapowane adresy IPv6 są blokowane w przepływach link CLI, zamykając klasę obejść SSRF umożliwiających skanowanie sieci wewnętrznej. Dzięki @AI-Reviewer-QS.
Poprawki path traversal
- •Ścieżki wyjściowe
/trace/stop,/wait/downloadi/downloadograniczone do katalogów tymczasowych — traversal i ucieczka odrzucane. - •Zasoby Canvas A2UI serwowane przez
openFileWithinRoot, zamykając luki traversal i TOCTOU. Dzięki @abdelsfane.
Ochrona poświadczeń
WhatsApp creds.json wymusza uprawnienia 0o600 przy zapisie, backupie i przywracaniu. Zapis konfiguracji zachowuje referencje ${VAR}, nie zapisując przypadkowo sekretów w postaci jawnej. Dzięki @abdelsfane, @thewilloftheshadow.
ACP i wzmocnienie uprawnień
Wybór uprawnień ACP domyślnie odmawia przy niejednoznacznej tożsamości narzędzia lub opcjach, wspierając allow_always/reject_always. Zatwierdzanie wykonania węzłów również domyślnie odmawia przy nieoczekiwanych decyzjach. Dzięki @aether-ai-agent, @rmorse.
Ulepszenia sandboxa
Zmienne sandbox.docker.env są teraz poprawnie przekazywane do kontenerów przy docker create. Audyt bezpieczeństwa rozróżnia zewnętrzne webhooki od wewnętrznych hooków, unikając fałszywych alarmów. Dzięki @stevebot-alive, @mcaxtr.
Logi i audyt
- •Niezaufane wartości nagłówków WebSocket są oczyszczane i obcinane w logach handshake, zmniejszając ryzyko zatruwania logów.
- •Nadpisania konfiguracji rejestrują wpisy audytowe dla śledzenia zmian.
- •Dodano sprawdzanie konfiguracji sandboxa, nieskutecznych reguł deny i osiągalności wtyczek rozszerzeń.
Bezpieczeństwo Android
Aktualizacje aplikacji wymagają HTTPS + dopasowania hosta gateway + weryfikacji SHA-256. Pobieranie z kamery strumieniowo zapisywane na dysk z limitem rozmiaru. Buildy release nie używają już kluczy podpisu debugowego. Dzięki @smartprogrammer93.
Inne poprawki bezpieczeństwa
- •Ścisłe dopasowanie zakresu wiązania zapobiega wyciekom routingu między kontekstami. Dzięki @lailoo.
- •Heredoc dozwolony, ale łańcuchowanie poleceń przez nową linię zablokowane. Dzięki @mcaxtr.
- •Wyjaśniono wytyczne izolacji DM dla wielu użytkowników. Dzięki @VintLin.
Poza bezpieczeństwem
To wydanie zawiera również wiadomości głosowe Discord (z podglądem fali dźwiękowej), konfigurowalny status obecności, obsługę Hugging Face Inference, integrację OpenAI Codex/Spark, kolejkę write-ahead do odzyskiwania po awariach i dziesiątki poprawek na różnych platformach. Ponad 50 współtwórców wzięło udział. Pełny changelog na GitHubie.
