OpenClaw v2026.2.13 是目前安全力度最大的版本。社群貢獻者提交了 20 多個安全相關 commit,涵蓋從 SSRF 漏洞到憑證外洩的各個面向。
高危工具預設攔截
sessions_spawn、sessions_send、gateway、whatsapp_login 等高危工具現已預設禁止透過 HTTP /tools/invoke 呼叫。營運者可透過 gateway.tools.{allow,deny} 自行開放,但預設關閉代表即使整合遭入侵,也無法直接觸發敏感操作。感謝 @aether-ai-agent。
IP 認證策略收緊
破壞性變更:Canvas 的 IP 認證回退現在僅接受內網位址(RFC1918、鏈路本地、ULA IPv6、CGNAT)。公網 IP 必須使用 Bearer Token。先前依賴公網 IP 回退的需要遷移。感謝 @sumleo。
SSRF 防護
連結處理流程封鎖了回環位址、內網主機模式和私有/映射 IPv6 位址,堵住了一類可用於內網探測的 SSRF 繞過。感謝 @AI-Reviewer-QS。
路徑穿越修復
- •
/trace/stop、/wait/download、/download輸出路徑限制在暫存目錄內,拒絕穿越和逃逸。 - •Canvas A2UI 資源透過
openFileWithinRoot提供,封堵穿越和 TOCTOU 競態。感謝 @abdelsfane。
憑證保護
WhatsApp creds.json 在儲存、備份和還原時強制 0o600 權限。設定寫入保留 ${VAR} 環境變數參照,不再意外將金鑰明文寫入磁碟。感謝 @abdelsfane、@thewilloftheshadow。
ACP 與權限加固
ACP 權限選擇在工具身分或選項不明確時預設拒絕,支援 allow_always/reject_always。節點執行審批遇到非預期決策時同樣預設拒絕。感謝 @aether-ai-agent、@rmorse。
沙箱改進
sandbox.docker.env 環境變數在 docker create 時正確傳入容器。安全稽核區分外部 Webhook 和內部 Hook,避免誤報。感謝 @stevebot-alive、@mcaxtr。
日誌與稽核
- •WebSocket 握手日誌中不可信 Header 值被清理截斷,降低日誌投毒風險。
- •設定覆寫記錄稽核條目,提升可追溯性。
- •新增沙箱設定、無效 deny 規則和擴充套件可達性的檢查。
Android 安全
應用程式更新要求 HTTPS + 閘道主機比對 + SHA-256 校驗。相機下載串流寫入磁碟並限制大小。正式建置不再使用除錯簽章。感謝 @smartprogrammer93。
其他安全修復
- •嚴格繫結作用域比對,防止跨上下文路由洩漏。感謝 @lailoo。
- •允許 heredoc 但阻止換行命令鏈。感謝 @mcaxtr。
- •多使用者 DM 隔離設定指引更加明確。感謝 @VintLin。
安全之外
本版本還有 Discord 語音訊息(含波形預覽)、可設定線上狀態、Hugging Face Inference 支援、OpenAI Codex/Spark 整合、崩潰復原預寫式投遞佇列,以及各平台數十項修復。超過 50 位貢獻者參與。完整日誌見 GitHub。
