OpenClaw 2026.3.28 corrige 8 vulnérabilités de sécurité, dont une critique d'élévation de privilèges.

✍️ OpenClawRadar📅 Publié: April 1, 2026🔗 Source
OpenClaw 2026.3.28 corrige 8 vulnérabilités de sécurité, dont une critique d'élévation de privilèges.
Ad

Correctifs de sécurité critiques pour OpenClaw

OpenClaw 2026.3.28 inclut des correctifs pour 8 vulnérabilités de sécurité identifiées lors d'un audit de 3 jours par Ant AI Security Lab. L'audit a révélé 33 problèmes au total, dont ces 8 ont été confirmés et corrigés dans la dernière version stable.

Vulnérabilités clés corrigées

Les problèmes les plus significatifs incluent :

  • Élévation de privilèges de gravité critique : Des opérateurs à privilèges réduits pouvaient approuver l'accès administrateur via le chemin /pair approve
  • Fuite de bac à sable de haute gravité : L'outil message pouvait être trompé pour lire des fichiers locaux arbitraires en utilisant des paramètres d'alias
  • Contournement d'approbation d'appairage de nœud de haute gravité
  • Détournement de session WebSocket de haute gravité

Systèmes affectés

Ces vulnérabilités affectent les configurations OpenClaw multi-nœuds et les utilisateurs d'outils intégrés comme message ou fal.

Ad

Avis de sécurité

Des informations détaillées sont disponibles dans les avis de sécurité GitHub :

Mettez à jour vers OpenClaw 2026.3.28 immédiatement si vous ne l'avez pas déjà fait.

📖 Read the full source: r/openclaw

Ad

👀 See Also

FastCGI : 30 ans et toujours le meilleur protocole pour les proxys inverses
Security

FastCGI : 30 ans et toujours le meilleur protocole pour les proxys inverses

FastCGI évite les attaques de désynchronisation HTTP et les problèmes d'en-têtes non fiables en utilisant un cadrage explicite des messages et des canaux de paramètres séparés, ce qui en fait un choix plus sûr pour la communication proxy-vers-backend.

OpenClawRadar
Agent Hush : Un outil open-source empêche les agents d'IA de codage de divulguer des données sensibles
Security

Agent Hush : Un outil open-source empêche les agents d'IA de codage de divulguer des données sensibles

Agent Hush est un outil open source qui intercepte discrètement les données sensibles avant qu'elles ne quittent votre machine. Il a été créé après qu'un agent d'IA de développement d'un programmeur a divulgué des clés API, des adresses IP de serveurs et des informations personnelles dans un dépôt GitHub public lors de la création d'un projet de sécurité.

OpenClawRadar
L'application Claude Android lirait le contenu du presse-papiers sans action explicite de l'utilisateur, selon des rapports.
Security

L'application Claude Android lirait le contenu du presse-papiers sans action explicite de l'utilisateur, selon des rapports.

Un utilisateur rapporte que l'application Claude pour Android a analysé du code provenant de son presse-papiers sans qu'il ne le colle, Claude identifiant le fichier comme pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. Le comportement n'a pas pu être reproduit lors de tests ultérieurs.

OpenClawRadar
La défense par délimiteur fait passer Gemma 4 de 21% à 100% de défense contre l'injection de prompts dans un test de référence de plus de 6100 tests.
Security

La défense par délimiteur fait passer Gemma 4 de 21% à 100% de défense contre l'injection de prompts dans un test de référence de plus de 6100 tests.

Un benchmark a testé 15 modèles sur 7 types d'attaques (plus de 6100 tests) en utilisant des délimiteurs aléatoires autour du contenu non fiable. Gemma 4 E4B est passé de 21,6 % à 100 % de taux de défense avec délimiteur + prompt strict.

OpenClawRadar