学生がOpenClaw本番システムに2つのセキュリティパッチを提供しました。

2つのセキュリティ脆弱性が特定され修正されました

学生開発者が最近、OpenClawの本番環境に対して2つのセキュリティパッチを提供し、両方とも手動で本番リリースにマージされました。

ゲートウェイの「フェイルオープン」脆弱性（PR #29198）

最初の問題は「フェイルオープン」脆弱性で、プラグインのHTTPルートが「デフォルトで広く開かれている」状態でした。開発者はこれを「開発者が手動でドアをロックしなければ、ただ…開いたままだった」と表現しています。

修正では、ゲートウェイロジックをリファクタリングして厳格な「デフォルト拒否」の姿勢を実装しました。このパッチはシステム全体のコア認証ミドルウェアに影響を与えたため、自動マージは防止されました。修正は@Steipeteによってメインブランチに手動で適用され、v2026.3.1リリースの一部として出荷されました。

チャット画像のタブナビング脆弱性（PR #18685）

2つ目の脆弱性はチャット画像における典型的なタブナビング問題で、「悪意のあるサイトがセッションを乗っ取る可能性がある」状態でした。開発者はこの問題に対処するために3つのセキュリティ対策を実装しました：

• noopenerを追加
• noreferrerを追加
• opener = nullを強制してウィンドウ参照を無効化

この修正はv2026.2.24でリリースされました。

手動マージプロセス

両方のパッチは、コアシステムへの影響の大きさから、自動マージではなく手動マージが必要でした。特にゲートウェイの修正は、コア認証ミドルウェアに影響を与えるため、手動での介入が必要でした。

開発者は、自分のコードが手動マージを通じて本番環境に適用されるのを見て「非常に大きなレベルアップを感じた」と述べ、学生の貢献が本番環境のセキュリティに有意義な影響を与えられるという自信を得たと語りました。