Estudante contribui com dois patches de segurança para o sistema de produção OpenClaw

Duas vulnerabilidades de segurança identificadas e corrigidas
Um desenvolvedor estudante recentemente contribuiu com dois patches de segurança para o ecossistema de produção do OpenClaw, ambos os quais foram mesclados manualmente em lançamentos ativos.
Vulnerabilidade 'fail-open' no gateway (PR #29198)
O primeiro problema era uma vulnerabilidade "fail-open" onde as rotas HTTP dos plugins estavam "totalmente abertas por padrão". O desenvolvedor descreveu isso como: "se um desenvolvedor não trancasse manualmente uma porta, ela simplesmente... ficava aberta".
A correção envolveu refatorar a lógica do Gateway para implementar uma postura estrita de "negar por padrão". Este patch afetou o middleware de autenticação central de todo o sistema, o que impediu a mesclagem automática. A correção foi implementada manualmente no branch principal por @Steipete e lançada como parte da versão v2026.3.1.
Vulnerabilidade de tabnabbing em imagens de chat (PR #18685)
A segunda vulnerabilidade foi um problema clássico de tabnabbing em imagens de chat, onde "um site malicioso poderia potencialmente sequestrar sua sessão". O desenvolvedor implementou três medidas de segurança para resolver isso:
- Adicionou
noopener - Adicionou
noreferrer - Forçou
opener = nullpara eliminar a referência da janela
Esta correção foi lançada na v2026.2.24.
Processo de mesclagem manual
Ambos os patches exigiram mesclagem manual em vez de mesclagem automática devido ao seu impacto nos sistemas centrais. A correção do gateway especificamente exigiu intervenção manual porque afetou o middleware de autenticação central.
O desenvolvedor observou que ver seu código entrar em produção através de uma mesclagem manual "pareceu um grande avanço" e proporcionou confiança de que contribuições de estudantes podem impactar significativamente a segurança da produção.
📖 Leia a fonte completa: r/openclaw
👀 See Also

Pacote Malicioso do PyTorch Lightning Rouba Credenciais e Infecta Pacotes npm
As versões 2.6.2 e 2.6.3 do pacote PyPI 'lightning' contêm malware com tema Shai-Hulud que rouba credenciais, tokens e segredos da nuvem, e se espalha para pacotes npm por meio de payloads JavaScript injetados.

Código-Fonte da Plataforma de Governo Eletrônico da Suécia Vazado via Infraestrutura CGI Comprometida
O código-fonte completo da plataforma de E-Governo da Suécia foi vazado pelo ator de ameaça ByteToBreach após comprometer a infraestrutura da CGI Sverige AB. O vazamento inclui bancos de dados de funcionários, sistemas de assinatura de documentos de API, credenciais SSH do Jenkins e endpoints de teste de RCE.

mcp-scan: Scanner de segurança para configurações de servidor MCP
mcp-scan verifica configurações de servidores MCP para problemas de segurança, incluindo segredos em arquivos de configuração, vulnerabilidades conhecidas em pacotes, padrões de permissão suspeitos, vetores de exfiltração e ataques de envenenamento de ferramentas. Ele detecta automaticamente configurações para Claude Desktop, Cursor, VS Code, Windsurf e 6 outros clientes de IA.

Aplicativo Claude para Android supostamente lê a área de transferência sem ação explícita do usuário
Um usuário relata que o aplicativo Claude para Android analisou código da área de transferência sem que ele o colasse, com o Claude identificando o arquivo como pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. O comportamento não pôde ser reproduzido em testes subsequentes.