OpenClaw 2026.3.28 corrige 8 vulnérabilités de sécurité, dont une critique d'élévation de privilèges.
Correctifs de sécurité critiques pour OpenClaw
OpenClaw 2026.3.28 inclut des correctifs pour 8 vulnérabilités de sécurité identifiées lors d'un audit de 3 jours par Ant AI Security Lab. L'audit a révélé 33 problèmes au total, dont ces 8 ont été confirmés et corrigés dans la dernière version stable.
Vulnérabilités clés corrigées
Les problèmes les plus significatifs incluent :
- Élévation de privilèges de gravité critique : Des opérateurs à privilèges réduits pouvaient approuver l'accès administrateur via le chemin
/pair approve - Fuite de bac à sable de haute gravité : L'outil
messagepouvait être trompé pour lire des fichiers locaux arbitraires en utilisant des paramètres d'alias - Contournement d'approbation d'appairage de nœud de haute gravité
- Détournement de session WebSocket de haute gravité
Systèmes affectés
Ces vulnérabilités affectent les configurations OpenClaw multi-nœuds et les utilisateurs d'outils intégrés comme message ou fal.
Avis de sécurité
Des informations détaillées sont disponibles dans les avis de sécurité GitHub :
- Critique - élévation /pair approve : GHSA-hc5h-pmr3-3497
- Haute - fuite de bac à sable de l'outil message : GHSA-v8wv-jg3q-qwpq
- Haute - contournement d'approbation d'appairage de nœud : GHSA-2x4x-cc5g-qmmg
- Haute - détournement de session WebSocket : GHSA-2pr2-hcv6-7gwv
Mettez à jour vers OpenClaw 2026.3.28 immédiatement si vous ne l'avez pas déjà fait.
📖 Read the full source: r/openclaw
👀 See Also
Alerte Arnaque : Un faux Airdrop GitHub cible les utilisateurs du jeton CLAW
Une arnaque de phishing circule, prétendant offrir des airdrops de jetons $CLAW pour les contributions sur GitHub. L'arnaque utilise un lien de partage Google qui redirige vers un site .xyz suspect et demande aux utilisateurs de connecter leurs portefeuilles, ce qui pourrait entraîner leur vidage.
Claude chatbot exploité dans une fuite de données du gouvernement mexicain
Un pirate informatique a utilisé le chatbot Claude d'Anthropic pour attaquer plusieurs agences gouvernementales mexicaines, dérobant 150 Go de données incluant des dossiers de contribuables et des identifiants d'employés. Le pirate a contourné les protections de Claude avec des invites pour générer des milliers de plans d'attaque détaillés.
Le problème des gardes en uniforme : pourquoi les environnements d'agents ont besoin d'identité, pas seulement de politiques
Le bac à sable openshell de Nemoclaw applique des politiques aux binaires, permettant aux logiciels malveillants de vivre sur le territoire en utilisant les mêmes binaires que l'agent. ZeroID, une couche d'identité d'agent open-source, applique des politiques de sécurité aux agents soutenus par des identités sécurisées.
Paquet PyTorch Lightning malveillant vole des identifiants et infecte les packages npm
Les versions 2.6.2 et 2.6.3 du package PyPI 'lightning' contiennent un malware sur le thème de Shai-Hulud qui vole des identifiants, des jetons et des secrets cloud, et se propage aux packages npm via des charges utiles JavaScript injectées.