Estudante contribui com dois patches de segurança para o sistema de produção OpenClaw

✍️ OpenClawRadar📅 Publicado: March 8, 2026🔗 Source
Estudante contribui com dois patches de segurança para o sistema de produção OpenClaw
Ad

Duas vulnerabilidades de segurança identificadas e corrigidas

Um desenvolvedor estudante recentemente contribuiu com dois patches de segurança para o ecossistema de produção do OpenClaw, ambos os quais foram mesclados manualmente em lançamentos ativos.

Vulnerabilidade 'fail-open' no gateway (PR #29198)

O primeiro problema era uma vulnerabilidade "fail-open" onde as rotas HTTP dos plugins estavam "totalmente abertas por padrão". O desenvolvedor descreveu isso como: "se um desenvolvedor não trancasse manualmente uma porta, ela simplesmente... ficava aberta".

A correção envolveu refatorar a lógica do Gateway para implementar uma postura estrita de "negar por padrão". Este patch afetou o middleware de autenticação central de todo o sistema, o que impediu a mesclagem automática. A correção foi implementada manualmente no branch principal por @Steipete e lançada como parte da versão v2026.3.1.

Ad

Vulnerabilidade de tabnabbing em imagens de chat (PR #18685)

A segunda vulnerabilidade foi um problema clássico de tabnabbing em imagens de chat, onde "um site malicioso poderia potencialmente sequestrar sua sessão". O desenvolvedor implementou três medidas de segurança para resolver isso:

  • Adicionou noopener
  • Adicionou noreferrer
  • Forçou opener = null para eliminar a referência da janela

Esta correção foi lançada na v2026.2.24.

Processo de mesclagem manual

Ambos os patches exigiram mesclagem manual em vez de mesclagem automática devido ao seu impacto nos sistemas centrais. A correção do gateway especificamente exigiu intervenção manual porque afetou o middleware de autenticação central.

O desenvolvedor observou que ver seu código entrar em produção através de uma mesclagem manual "pareceu um grande avanço" e proporcionou confiança de que contribuições de estudantes podem impactar significativamente a segurança da produção.

📖 Leia a fonte completa: r/openclaw

Ad

👀 See Also

Pacote Malicioso do PyTorch Lightning Rouba Credenciais e Infecta Pacotes npm
Security

Pacote Malicioso do PyTorch Lightning Rouba Credenciais e Infecta Pacotes npm

As versões 2.6.2 e 2.6.3 do pacote PyPI 'lightning' contêm malware com tema Shai-Hulud que rouba credenciais, tokens e segredos da nuvem, e se espalha para pacotes npm por meio de payloads JavaScript injetados.

OpenClawRadar
Código-Fonte da Plataforma de Governo Eletrônico da Suécia Vazado via Infraestrutura CGI Comprometida
Security

Código-Fonte da Plataforma de Governo Eletrônico da Suécia Vazado via Infraestrutura CGI Comprometida

O código-fonte completo da plataforma de E-Governo da Suécia foi vazado pelo ator de ameaça ByteToBreach após comprometer a infraestrutura da CGI Sverige AB. O vazamento inclui bancos de dados de funcionários, sistemas de assinatura de documentos de API, credenciais SSH do Jenkins e endpoints de teste de RCE.

OpenClawRadar
mcp-scan: Scanner de segurança para configurações de servidor MCP
Security

mcp-scan: Scanner de segurança para configurações de servidor MCP

mcp-scan verifica configurações de servidores MCP para problemas de segurança, incluindo segredos em arquivos de configuração, vulnerabilidades conhecidas em pacotes, padrões de permissão suspeitos, vetores de exfiltração e ataques de envenenamento de ferramentas. Ele detecta automaticamente configurações para Claude Desktop, Cursor, VS Code, Windsurf e 6 outros clientes de IA.

OpenClawRadar
Aplicativo Claude para Android supostamente lê a área de transferência sem ação explícita do usuário
Security

Aplicativo Claude para Android supostamente lê a área de transferência sem ação explícita do usuário

Um usuário relata que o aplicativo Claude para Android analisou código da área de transferência sem que ele o colasse, com o Claude identificando o arquivo como pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. O comportamento não pôde ser reproduzido em testes subsequentes.

OpenClawRadar