Estudante contribui com dois patches de segurança para o sistema de produção OpenClaw

Duas vulnerabilidades de segurança identificadas e corrigidas

Um desenvolvedor estudante recentemente contribuiu com dois patches de segurança para o ecossistema de produção do OpenClaw, ambos os quais foram mesclados manualmente em lançamentos ativos.

Vulnerabilidade 'fail-open' no gateway (PR #29198)

O primeiro problema era uma vulnerabilidade "fail-open" onde as rotas HTTP dos plugins estavam "totalmente abertas por padrão". O desenvolvedor descreveu isso como: "se um desenvolvedor não trancasse manualmente uma porta, ela simplesmente... ficava aberta".

A correção envolveu refatorar a lógica do Gateway para implementar uma postura estrita de "negar por padrão". Este patch afetou o middleware de autenticação central de todo o sistema, o que impediu a mesclagem automática. A correção foi implementada manualmente no branch principal por @Steipete e lançada como parte da versão v2026.3.1.

Vulnerabilidade de tabnabbing em imagens de chat (PR #18685)

A segunda vulnerabilidade foi um problema clássico de tabnabbing em imagens de chat, onde "um site malicioso poderia potencialmente sequestrar sua sessão". O desenvolvedor implementou três medidas de segurança para resolver isso:

• Adicionou noopener
• Adicionou noreferrer
• Forçou opener = null para eliminar a referência da janela

Esta correção foi lançada na v2026.2.24.

Processo de mesclagem manual

Ambos os patches exigiram mesclagem manual em vez de mesclagem automática devido ao seu impacto nos sistemas centrais. A correção do gateway especificamente exigiu intervenção manual porque afetou o middleware de autenticação central.

O desenvolvedor observou que ver seu código entrar em produção através de uma mesclagem manual "pareceu um grande avanço" e proporcionou confiança de que contribuições de estudantes podem impactar significativamente a segurança da produção.