OpenClaw v2026.2.13 é nosso release mais focado em segurança até agora. Com mais de 20 commits de segurança da comunidade, esta versão aborda desde vulnerabilidades SSRF até exposição de credenciais.
Bloqueio de ferramentas de alto risco
Ferramentas perigosas como sessions_spawn, sessions_send, gateway e whatsapp_login agora são bloqueadas por padrão no endpoint HTTP /tools/invoke. Operadores podem sobrescrever via gateway.tools.{allow,deny}, mas o padrão seguro impede que uma integração comprometida acione operações sensíveis. Obrigado @aether-ai-agent.
Endurecimento de autenticação por IP
Mudança incompatível: o fallback de autenticação por IP do Canvas agora aceita apenas endereços internos (RFC1918, link-local, ULA IPv6, CGNAT). IPs públicos exigem Bearer Token. Se você dependia do fallback por IP público, migre para autenticação por token. Obrigado @sumleo.
Proteção SSRF
Endereços loopback, padrões de host internos e IPv6 privados/mapeados são bloqueados nos fluxos de link CLI, fechando uma classe de bypasses SSRF que permitiam varredura de rede interna. Obrigado @AI-Reviewer-QS.
Correções de path traversal
- •Caminhos de saída de
/trace/stop,/wait/downloade/downloadsão restritos ao diretório temporário, rejeitando traversal e escape. - •Assets A2UI do Canvas são servidos via
openFileWithinRoot, fechando brechas de traversal e TOCTOU. Obrigado @abdelsfane.
Proteção de credenciais
WhatsApp creds.json aplica permissões 0o600 ao salvar, fazer backup e restaurar. A escrita de configuração preserva referências ${VAR} para não persistir segredos em texto plano no disco. Obrigado @abdelsfane, @thewilloftheshadow.
ACP e endurecimento de permissões
A seleção de permissões ACP falha fechada quando a identidade ou opções da ferramenta são ambíguas, suportando allow_always/reject_always. A aprovação de execução de nós também falha fechada em decisões inesperadas. Obrigado @aether-ai-agent, @rmorse.
Melhorias no sandbox
Variáveis sandbox.docker.env agora são passadas corretamente aos contêineres no docker create. A auditoria de segurança distingue webhooks externos de hooks internos para evitar falsos positivos. Obrigado @stevebot-alive, @mcaxtr.
Logs e auditoria
- •Valores de headers WebSocket não confiáveis são sanitizados e truncados nos logs de handshake para reduzir o risco de log poisoning.
- •Sobrescritas de configuração registram entradas de auditoria para rastreabilidade.
- •Adicionadas verificações de configuração de sandbox, regras deny ineficazes e alcançabilidade de plugins de extensão.
Segurança Android
Atualizações do app exigem HTTPS + correspondência de host do gateway + verificação SHA-256. Downloads de câmera são gravados em streaming com limite de tamanho. Builds de release não usam mais chaves de assinatura de debug. Obrigado @smartprogrammer93.
Outras correções de segurança
- •Correspondência estrita de escopo de binding para prevenir vazamentos de roteamento entre contextos. Obrigado @lailoo.
- •Heredoc permitido, mas encadeamento de comandos por quebra de linha bloqueado. Obrigado @mcaxtr.
- •Guia de isolamento de DM multiusuário clarificado. Obrigado @VintLin.
Além da segurança
Esta versão também inclui mensagens de voz no Discord (com preview de forma de onda), status de presença configurável, suporte a Hugging Face Inference, integração OpenAI Codex/Spark, fila write-ahead para recuperação de falhas e dezenas de correções multiplataforma. Mais de 50 colaboradores participaram. O changelog completo está no GitHub.
