Студент вносит два патча безопасности в производственную систему OpenClaw.

Две уязвимости безопасности выявлены и исправлены

Студент-разработчик недавно внес два патча безопасности в производственную экосистему OpenClaw, оба из которых были вручную влиты в живые релизы.

Уязвимость 'fail-open' в шлюзе (PR #29198)

Первой проблемой была уязвимость типа "fail-open", при которой HTTP-маршруты плагинов были "широко открыты по умолчанию". Разработчик описал это так: "если разработчик не закрывал дверь вручную, она просто... оставалась открытой".

Исправление включало рефакторинг логики Шлюза для внедрения строгой политики "запрещено по умолчанию". Этот патч затронул базовое промежуточное ПО аутентификации для всей системы, что предотвратило автоматическое слияние. Исправление было вручную влито в основную ветку пользователем @Steipete и выпущено как часть релиза v2026.3.1.

Уязвимость tabnabbing в изображениях чата (PR #18685)

Второй уязвимостью была классическая проблема tabnabbing в изображениях чата, когда "злонамеренный сайт потенциально мог захватить вашу сессию". Разработчик реализовал три меры безопасности для решения этой проблемы:

• Добавлен атрибут noopener
• Добавлен атрибут noreferrer
• Принудительно установлено opener = null для уничтожения ссылки на окно

Это исправление было выпущено в v2026.2.24.

Процесс ручного слияния

Оба патча потребовали ручного, а не автоматического слияния из-за их влияния на основные системы. Исправление для шлюза, в частности, потребовало ручного вмешательства, поскольку оно затрагивало базовое промежуточное ПО аутентификации.

Разработчик отметил, что наблюдение за тем, как его код становится частью живого проекта через ручное слияние, "ощущалось как огромный скачок в уровне" и придало уверенности в том, что вклад студентов может существенно влиять на безопасность производственных систем.