Student trägt zwei Sicherheitspatches zum OpenClaw-Produktionssystem bei

Zwei Sicherheitslücken identifiziert und behoben

Ein Studentenentwickler hat kürzlich zwei Sicherheitspatches zum OpenClaw-Produktionsökosystem beigetragen, die beide manuell in Live-Versionen integriert wurden.

Gateway-'Fail-Open'-Schwachstelle (PR #29198)

Das erste Problem war eine "Fail-Open"-Schwachstelle, bei der Plugin-HTTP-Routen "standardmäßig weit offen" waren. Der Entwickler beschrieb es so: "Wenn ein Entwickler eine Tür nicht manuell verschloss, war sie einfach... offen."

Die Lösung bestand in einer Überarbeitung der Gateway-Logik, um eine strikte "Standardmäßig-Verweigern"-Haltung zu implementieren. Dieser Patch betraf die zentrale Authentifizierungs-Middleware des gesamten Systems, was eine automatische Integration verhinderte. Die Korrektur wurde von @Steipete manuell in den Hauptzweig übernommen und als Teil der Version v2026.3.1 ausgeliefert.

Tabnabbing-Schwachstelle in Chat-Bildern (PR #18685)

Die zweite Schwachstelle war ein klassisches Tabnabbing-Problem in Chat-Bildern, bei dem "eine bösartige Website möglicherweise Ihre Sitzung übernehmen könnte". Der Entwickler implementierte drei Sicherheitsmaßnahmen, um dies zu beheben:

• Hinzufügen von noopener
• Hinzufügen von noreferrer
• Erzwingen von opener = null, um den Fensterverweis zu löschen

Diese Korrektur wurde in v2026.2.24 veröffentlicht.

Manueller Integrationsprozess

Beide Patches erforderten aufgrund ihrer Auswirkungen auf Kernsysteme eine manuelle statt einer automatischen Integration. Die Gateway-Korrektur benötigte speziell manuelles Eingreifen, da sie die zentrale Authentifizierungs-Middleware betraf.

Der Entwickler merkte an, dass das Live-Schalten ihres Codes durch eine manuelle Integration "sich wie ein riesiger Level-Up anfühlte" und Vertrauen gab, dass Studentenbeiträge die Produktionssicherheit bedeutungsvoll beeinflussen können.