Vulnérabilités de sécurité OpenClaw : des failles critiques du framework corrigées le 28.03.2026.

Vulnérabilités de sécurité critiques dans le cadre OpenClaw

Le laboratoire de sécurité Ant AI a réalisé un audit de 3 jours du cadre principal d'OpenClaw et a soumis 33 rapports de vulnérabilités. Huit de ces vulnérabilités ont été corrigées dans la version 2026.3.28, révélant des problèmes de sécurité architecturaux importants au-delà des risques d'injection de prompt et de compétences malveillantes souvent discutés.

Vulnérabilités spécifiques identifiées

• Contournement du bac à sable via les paramètres d'outil : Dans les versions <= 2026.3.24, l'outil message accepte les alias mediaUrl et fileUrl qui contournent la validation du bac à sable. Cela permet aux agents limités à un bac à sable de lire des fichiers locaux arbitraires via ces paramètres d'alias, brisant ainsi l'isolation.
• Élévation de privilèges via l'appairage d'appareils : Le chemin de commande /pair approve appelait l'approbation d'appareil sans transmettre les portées de l'appelant dans la vérification principale. Les utilisateurs avec des privilèges d'appairage de base pouvaient approuver des demandes d'appareil en attente demandant des portées plus larges, y compris un accès administrateur complet, s'accordant ainsi des permissions qu'ils ne possèdent pas.
• Persistance des sessions après révocation des jetons : Lorsque les jetons sont révoqués, la passerelle ne met à jour que les identifiants stockés sans déconnecter les sessions WebSocket déjà authentifiées. Les appareils révoqués peuvent continuer à utiliser leurs sessions actives jusqu'à ce que les connexions se terminent naturellement.
• Vulnérabilité SSRF dans le fournisseur d'images : Le fournisseur fal pour la génération d'images utilise des récupérations brutes pour le trafic API et les téléchargements d'images, contournant les chemins de récupération protégés contre le SSRF. Des relais malveillants pourraient forcer la passerelle à récupérer des URL internes et exposer les réponses des services internes via le pipeline d'images.
• Dégradation des listes d'autorisation : Les listes d'autorisation de groupe au niveau des routes (par exemple, pour Google Chat ou Zalo) étaient silencieusement rétrogradées de allowlist à open au lieu de préserver les politiques de groupe. Tout membre de l'espace autorisé pouvait interagir avec le bot, ignorant les restrictions au niveau de l'expéditeur.

Actions immédiates requises

• Vérifiez votre version d'OpenClaw. Si elle est < 2026.3.28, mettez à jour immédiatement.
• Examinez les journaux d'appairage pour toute attribution d'administration inattendue.
• Si vous avez récemment révoqué un jeton, redémarrez de force votre passerelle pour mettre fin aux sessions WebSocket persistantes.

L'audit du laboratoire de sécurité Ant AI souligne que, bien que beaucoup d'attention se concentre sur le comportement des LLM, les limites de confiance et la validation des paramètres du cadre sous-jacent sont tout aussi critiques pour la sécurité. Les 8 avis de l'audit sont disponibles publiquement dans l'onglet sécurité GitHub d'OpenClaw.