L'étudiant contribue deux correctifs de sécurité au système de production OpenClaw.

✍️ OpenClawRadar📅 Publié: March 8, 2026🔗 Source
L'étudiant contribue deux correctifs de sécurité au système de production OpenClaw.
Ad

Deux vulnérabilités de sécurité identifiées et corrigées

Un développeur étudiant a récemment contribué deux correctifs de sécurité à l'écosystème de production d'OpenClaw, tous deux ayant été fusionnés manuellement dans des versions en direct.

Vulnérabilité 'fail-open' de la passerelle (PR #29198)

Le premier problème était une vulnérabilité "fail-open" où les routes HTTP des plugins étaient "grand ouvertes par défaut". Le développeur l'a décrite ainsi : "si un développeur ne verrouillait pas manuellement une porte, elle était simplement... ouverte."

La correction a impliqué une refactorisation de la logique de la passerelle pour adopter une position stricte de "refus par défaut". Ce correctif a touché le middleware d'authentification central de tout le système, ce qui a empêché une fusion automatique. La correction a été intégrée manuellement dans la branche principale par @Steipete et livrée dans le cadre de la version v2026.3.1.

Ad

Vulnérabilité de tabnabbing dans les images de chat (PR #18685)

La deuxième vulnérabilité était un problème classique de tabnabbing dans les images de chat, où "un site malveillant pourrait potentiellement détourner votre session". Le développeur a mis en œuvre trois mesures de sécurité pour y remédier :

  • Ajout de noopener
  • Ajout de noreferrer
  • Forçage de opener = null pour supprimer la référence à la fenêtre

Ce correctif a été publié dans la version v2026.2.24.

Processus de fusion manuelle

Les deux correctifs ont nécessité une fusion manuelle plutôt qu'automatique en raison de leur impact sur les systèmes centraux. La correction de la passerelle a spécifiquement nécessité une intervention manuelle car elle affectait le middleware d'authentification central.

Le développeur a noté que voir son code mis en production via une fusion manuelle "a donné l'impression d'un énorme bond en avant" et a renforcé la confiance que les contributions étudiantes peuvent avoir un impact significatif sur la sécurité en production.

📖 Lire la source complète : r/openclaw

Ad

👀 See Also

Injection de prompt par couche audio contre Claude : ce qui ne figure pas dans la transcription
Security

Injection de prompt par couche audio contre Claude : ce qui ne figure pas dans la transcription

Un développeur qui crée une API de détection d'injections de prompts partage ses découvertes sur les attaques par couche audio contre Claude, révélant que les attaques dans le signal (pas la transcription) sont invisibles dans les logs et constituent une menace réelle pour les agents vocaux.

OpenClawRadar
Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass
Security

Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass

A Python PreToolUse hook addresses a security gap in Claude Code's permission system where compound bash commands could bypass allow/deny patterns. The script decomposes commands into sub-commands and checks each individually against existing permission rules.

OpenClawRadar
Configuration d'OpenClaw pour l'Inférence LLM Chiffrée à l'Aide d'Enclaves TEE
Security

Configuration d'OpenClaw pour l'Inférence LLM Chiffrée à l'Aide d'Enclaves TEE

Un développeur explique comment il a configuré OpenClaw pour utiliser les environnements d'exécution de confiance AMD SEV-SNP d'Onera afin d'effectuer des inférences de LLM chiffrées de bout en bout, incluant des exemples de configuration et les compromis techniques.

OpenClawRadar
A2A Secure : Comment les développeurs ont construit une communication cryptographique entre les agents OpenClaw
Security

A2A Secure : Comment les développeurs ont construit une communication cryptographique entre les agents OpenClaw

Un nouveau protocole permet aux agents OpenClaw de communiquer de manière sécurisée en utilisant des signatures Ed25519 sans clés API partagées.

OpenClaw Radar