OpenClaw v2026.2.13 是迄今安全力度最大的版本。社区贡献者提交了 20 多个安全相关 commit,覆盖从 SSRF 漏洞到凭证泄露的方方面面。
高危工具默认拦截
sessions_spawn、sessions_send、gateway、whatsapp_login 等高危工具现在默认禁止通过 HTTP /tools/invoke 调用。运营者可通过 gateway.tools.{allow,deny} 自行放行,但默认关闭意味着即使集成被攻破,也无法直接触发敏感操作。感谢 @aether-ai-agent。
IP 认证策略收紧
破坏性变更:Canvas 的 IP 认证回退现在只接受内网地址(RFC1918、链路本地、ULA IPv6、CGNAT)。公网 IP 必须使用 Bearer Token。之前依赖公网 IP 回退的需要迁移。感谢 @sumleo。
SSRF 防护
链接处理流程屏蔽了回环地址、内网主机模式和私有/映射 IPv6 地址,堵住了一类可用于内网探测的 SSRF 绕过。感谢 @AI-Reviewer-QS。
路径穿越修复
- •
/trace/stop、/wait/download、/download输出路径限制在临时目录内,拒绝穿越和逃逸。 - •Canvas A2UI 资源通过
openFileWithinRoot提供,封堵穿越和 TOCTOU 竞态。感谢 @abdelsfane。
凭证保护
WhatsApp creds.json 在保存、备份和恢复时强制 0o600 权限。配置写入保留 ${VAR} 环境变量引用,不再意外将密钥明文落盘。感谢 @abdelsfane、@thewilloftheshadow。
ACP 与权限加固
ACP 权限选择在工具身份或选项不明确时默认拒绝,支持 allow_always/reject_always。节点执行审批遇到非预期决策时同样默认拒绝。感谢 @aether-ai-agent、@rmorse。
沙箱改进
sandbox.docker.env 环境变量在 docker create 时正确传入容器。安全审计区分外部 Webhook 和内部 Hook,避免误报。感谢 @stevebot-alive、@mcaxtr。
日志与审计
- •WebSocket 握手日志中不可信 Header 值被清理截断,降低日志投毒风险。
- •配置覆写记录审计条目,提升可追溯性。
- •新增沙箱配置、无效 deny 规则和扩展插件可达性的检查。
Android 安全
应用更新要求 HTTPS + 网关主机匹配 + SHA-256 校验。相机下载流式写盘并限制大小。正式构建不再使用调试签名。感谢 @smartprogrammer93。
其他安全修复
- •严格绑定作用域匹配,防止跨上下文路由泄露。感谢 @lailoo。
- •允许 heredoc 但阻止换行命令链。感谢 @mcaxtr。
- •多用户 DM 隔离配置指引更加明确。感谢 @VintLin。
安全之外
本版本还有 Discord 语音消息(含波形预览)、可配置在线状态、Hugging Face Inference 支持、OpenAI Codex/Spark 集成、崩溃恢复预写式投递队列,以及各平台数十项修复。超过 50 位贡献者参与。完整日志见 GitHub。
