OpenClaw 2026.3.28 corrige 8 vulnérabilités de sécurité, dont une critique d'élévation de privilèges.

Correctifs de sécurité critiques pour OpenClaw
OpenClaw 2026.3.28 inclut des correctifs pour 8 vulnérabilités de sécurité identifiées lors d'un audit de 3 jours par Ant AI Security Lab. L'audit a révélé 33 problèmes au total, dont ces 8 ont été confirmés et corrigés dans la dernière version stable.
Vulnérabilités clés corrigées
Les problèmes les plus significatifs incluent :
- Élévation de privilèges de gravité critique : Des opérateurs à privilèges réduits pouvaient approuver l'accès administrateur via le chemin
/pair approve - Fuite de bac à sable de haute gravité : L'outil
messagepouvait être trompé pour lire des fichiers locaux arbitraires en utilisant des paramètres d'alias - Contournement d'approbation d'appairage de nœud de haute gravité
- Détournement de session WebSocket de haute gravité
Systèmes affectés
Ces vulnérabilités affectent les configurations OpenClaw multi-nœuds et les utilisateurs d'outils intégrés comme message ou fal.
Avis de sécurité
Des informations détaillées sont disponibles dans les avis de sécurité GitHub :
- Critique - élévation /pair approve : GHSA-hc5h-pmr3-3497
- Haute - fuite de bac à sable de l'outil message : GHSA-v8wv-jg3q-qwpq
- Haute - contournement d'approbation d'appairage de nœud : GHSA-2x4x-cc5g-qmmg
- Haute - détournement de session WebSocket : GHSA-2pr2-hcv6-7gwv
Mettez à jour vers OpenClaw 2026.3.28 immédiatement si vous ne l'avez pas déjà fait.
📖 Read the full source: r/openclaw
👀 See Also

AWS rapporte qu'une attaque assistée par IA a compromis plus de 600 pare-feux FortiGate.
Des cybercriminels ont utilisé des outils d'IA générative prêts à l'emploi pour compromettre plus de 600 pare-feux FortiGate exposés sur Internet dans 55 pays lors d'une campagne d'un mois, selon AWS. Les attaquants ont scanné les interfaces de gestion exposées, testé des identifiants faibles et utilisé l'IA pour générer des playbooks d'attaque et des scripts.

Vulnérabilités de sécurité OpenClaw : des failles critiques du framework corrigées le 28.03.2026.
Le laboratoire de sécurité Ant AI a identifié 33 vulnérabilités dans le cadre principal d'OpenClaw, avec 8 problèmes critiques corrigés dans la version 2026.3.28. Les vulnérabilités incluent le contournement du bac à sable, l'élévation de privilèges, la persistance des sessions après révocation des jetons, les risques SSRF et la dégradation des listes d'autorisation.

Les applications construites par IA sont fragiles : pourquoi les petits changements brisent l'isolement des données et les autorisations
Des développeurs signalent que les applications générées par IA (via Claude Code, Cursor) cassent silencieusement la connexion, les autorisations et l'isolation des données lors de petites modifications, car les modèles d'IA ne comprennent pas l'intention originale du système comme les règles de propriété.

FakeKey : un outil de sécurité pour clés API basé sur Rust qui remplace les clés réelles par des fausses
FakeKey est un outil de sécurité basé sur Rust qui remplace les vraies clés API par des fausses dans les environnements d'application, stockant les vraies clés chiffrées dans le trousseau natif du système et ne les injectant que lors des requêtes HTTP/S.