OpenClaw v2026.2.13 — наш самый ориентированный на безопасность релиз. Более 20 коммитов безопасности от участников сообщества охватывают всё: от SSRF-уязвимостей до утечки учётных данных.
Блокировка инструментов высокого риска
sessions_spawn, sessions_send, gateway и whatsapp_login теперь по умолчанию заблокированы на HTTP-эндпоинте /tools/invoke. Операторы могут переопределить через gateway.tools.{allow,deny}, но безопасный дефолт не позволяет скомпрометированной интеграции запускать чувствительные операции. Спасибо @aether-ai-agent.
Ужесточение IP-аутентификации
Ломающее изменение: IP-фолбэк аутентификации Canvas теперь принимает только внутренние адреса (RFC1918, link-local, ULA IPv6, CGNAT). Публичные IP требуют Bearer Token. Если вы полагались на фолбэк по публичному IP — переходите на токен-аутентификацию. Спасибо @sumleo.
Защита от SSRF
Loopback-адреса, внутренние хост-паттерны и приватные/маппированные IPv6-адреса заблокированы в потоках link CLI, закрывая класс SSRF-обходов для сканирования внутренней сети. Спасибо @AI-Reviewer-QS.
Исправления обхода путей
- •Выходные пути
/trace/stop,/wait/downloadи/downloadограничены временными директориями, traversal и escape отклоняются. - •Ассеты Canvas A2UI раздаются через
openFileWithinRoot, закрывая traversal и TOCTOU. Спасибо @abdelsfane.
Защита учётных данных
WhatsApp creds.json принудительно получает права 0o600 при сохранении, резервном копировании и восстановлении. Запись конфигурации сохраняет ссылки ${VAR}, не допуская случайной записи секретов в открытом виде. Спасибо @abdelsfane, @thewilloftheshadow.
ACP и ужесточение разрешений
Выбор разрешений ACP по умолчанию отклоняет при неоднозначной идентификации инструмента или опций, поддерживая allow_always/reject_always. Одобрение выполнения узлов также отклоняет по умолчанию при неожиданных решениях. Спасибо @aether-ai-agent, @rmorse.
Улучшения песочницы
Переменные sandbox.docker.env теперь корректно передаются контейнерам при docker create. Аудит безопасности различает внешние вебхуки и внутренние хуки, избегая ложных срабатываний. Спасибо @stevebot-alive, @mcaxtr.
Логирование и аудит
- •Ненадёжные значения заголовков WebSocket очищаются и обрезаются в логах хендшейка для снижения риска отравления логов.
- •Перезаписи конфигурации фиксируются в аудит-записях для отслеживаемости.
- •Добавлены проверки конфигурации песочницы, неэффективных deny-правил и достижимости плагинов расширений.
Безопасность Android
Обновления приложения требуют HTTPS + совпадение хоста шлюза + проверку SHA-256. Загрузки с камеры записываются потоково с ограничением размера. Релизные сборки больше не используют отладочные ключи подписи. Спасибо @smartprogrammer93.
Прочие исправления безопасности
- •Строгое сопоставление области привязки предотвращает утечки маршрутизации между контекстами. Спасибо @lailoo.
- •Heredoc разрешён, но цепочки команд через перенос строки заблокированы. Спасибо @mcaxtr.
- •Уточнено руководство по изоляции DM для нескольких пользователей. Спасибо @VintLin.
За пределами безопасности
Этот релиз также включает голосовые сообщения Discord (с превью волновой формы), настраиваемый статус присутствия, поддержку Hugging Face Inference, интеграцию OpenAI Codex/Spark, очередь предварительной записи для восстановления после сбоев и десятки платформенных исправлений. Более 50 участников внесли вклад. Полный changelog — на GitHub.
