Estudiante contribuye con dos parches de seguridad al sistema de producción OpenClaw.

Dos vulnerabilidades de seguridad identificadas y corregidas

Un desarrollador estudiantil contribuyó recientemente con dos parches de seguridad al ecosistema de producción de OpenClaw, ambos fusionados manualmente en versiones en vivo.

Vulnerabilidad de 'fallo abierto' en la puerta de enlace (PR #29198)

El primer problema fue una vulnerabilidad de "fallo abierto" donde las rutas HTTP de los complementos estaban "completamente abiertas por defecto". El desarrollador lo describió como: "si un desarrollador no cerraba manualmente una puerta, simplemente... estaba abierta".

La solución implicó refactorizar la lógica de la Puerta de Enlace para implementar una postura estricta de "denegar por defecto". Este parche afectó el middleware de autenticación central de todo el sistema, lo que impidió la fusión automática. La corrección fue implementada manualmente en la rama principal por @Steipete y se incluyó como parte de la versión v2026.3.1.

Vulnerabilidad de tabnabbing en imágenes del chat (PR #18685)

La segunda vulnerabilidad fue un problema clásico de tabnabbing en las imágenes del chat, donde "un sitio malicioso podría potencialmente secuestrar tu sesión". El desarrollador implementó tres medidas de seguridad para abordar esto:

• Agregó noopener
• Agregó noreferrer
• Forzó opener = null para eliminar la referencia de la ventana

Esta corrección se lanzó en v2026.2.24.

Proceso de fusión manual

Ambos parches requirieron fusión manual en lugar de automática debido a su impacto en los sistemas centrales. La corrección de la puerta de enlace específicamente requirió intervención manual porque afectó el middleware de autenticación central.

El desarrollador señaló que ver su código implementado a través de una fusión manual "se sintió como un gran avance" y brindó confianza en que las contribuciones estudiantiles pueden impactar significativamente la seguridad de producción.