학생이 OpenClaw 생산 시스템에 두 개의 보안 패치를 기여했습니다.

두 가지 보안 취약점 식별 및 수정

한 학생 개발자가 최근 OpenClaw 프로덕션 생태계에 두 가지 보안 패치를 기여했으며, 두 패치 모두 수동으로 라이브 릴리스에 병합되었습니다.

게이트웨이 'fail-open' 취약점 (PR #29198)

첫 번째 문제는 플러그인 HTTP 경로가 "기본적으로 완전히 열려 있는" "fail-open" 취약점이었습니다. 개발자는 이를 "개발자가 문을 수동으로 잠그지 않으면 그냥... 열려 있었다"고 설명했습니다.

수정 작업은 게이트웨이 로직을 리팩터링하여 엄격한 "기본 거부" 원칙을 구현하는 것이었습니다. 이 패치는 전체 시스템의 핵심 인증 미들웨어를 건드려 자동 병합을 방지했습니다. 이 수정 사항은 @Steipete에 의해 메인 브랜치에 수동으로 적용되었으며 v2026.3.1 릴리스의 일부로 배포되었습니다.

채팅 이미지의 탭납빙(tabnabbing) 취약점 (PR #18685)

두 번째 취약점은 채팅 이미지의 전형적인 탭납빙 문제로, "악성 사이트가 잠재적으로 세션을 탈취할 수 있는" 문제였습니다. 개발자는 이 문제를 해결하기 위해 세 가지 보안 조치를 구현했습니다:

• noopener 추가
• noreferrer 추가
• 창 참조를 제거하기 위해 opener = null 강제 설정

이 수정 사항은 v2026.2.24에서 릴리스되었습니다.

수동 병합 과정

두 패치 모두 핵심 시스템에 미치는 영향으로 인해 자동 병합 대신 수동 병합이 필요했습니다. 특히 게이트웨이 수정은 핵심 인증 미들웨어에 영향을 미쳤기 때문에 수동 개입이 필요했습니다.

개발자는 수동 병합을 통해 자신의 코드가 라이브로 전환되는 것을 보는 것이 "매우 큰 수준 향상처럼 느껴졌다"고 언급했으며, 학생들의 기여가 프로덕션 보안에 의미 있는 영향을 미칠 수 있다는 확신을 주었다고 덧붙였습니다.