La nouvelle version d'OpenClaw interdit aux modèles d'IA d'activer des configurations à haut risque via la dialogue

ME News Actualités, le 14 avril (UTC+8), selon la surveillance de 1M AI News, la plateforme d’agent AI open source OpenClaw a publié la version v2026.4.14.
Contrairement aux mises à jour de fonctionnalités intensives des deux dernières semaines, cette version n’apporte presque aucune nouvelle fonctionnalité, avec environ 12 des plus de 50 corrections directement liées au renforcement de la sécurité, ce qui constitue la recentre sécuritaire la plus concentrée récemment.
Le changement d’architecture le plus important concerne le resserrement des permissions du outil gateway.
Auparavant, le modèle AI pouvait modifier la configuration de l’instance via config.patch et config.apply, y compris en activant des drapeaux à haut risque tels que dangerouslyDisableDeviceAuth\ et \allowInsecureAuth.
La nouvelle version intercepte directement ce type d’appel au niveau de l’outil gateway : toute requête de patch qui active un drapeau dangereux listé dans la vérification de sécurité openclaw sera systématiquement refusée, les drapeaux déjà activés ne sont pas affectés, et les modifications des paramètres non dangereux continuent d’être acceptées.
Cela signifie que même si l’IA est induite par une injection de prompt, il ne sera pas possible de contourner la liste de vérification de sécurité via une conversation.
Les autres corrections de sécurité couvrent plusieurs surfaces d’attaque :

1. La stratégie SSRF du navigateur a été systématiquement corrigée, réparant plusieurs problèmes de régression tels que la connexion locale Chrome erronément bloquée en mode strict, la navigation par hostname bloquée, l’échec de la détection en mode attach-only, tout en appliquant la stratégie SSRF aux routes snapshot, screenshot, etc.
2. Les événements d’interaction Slack vérifient désormais obligatoirement la liste blanche allowFrom, qui pouvait auparavant être contournée par block-action et modal ; la connexion SSO de Microsoft Teams a également été complétée par une vérification de la liste blanche de l’expéditeur ; la liste blanche de Feishu a été corrigée pour la correspondance insensible à la casse et la confusion entre les espaces de noms user/chat.
3. La résolution du chemin des pièces jointes locales a été modifiée pour refuser en cas d’échec de realpath, empêchant ainsi la traversée de répertoires pour contourner la vérification des répertoires autorisés.
4. Le frontend de la console a remplacé marked.js par markdown-it, corrigeant un blocage ReDoS déclenché par du Markdown malveillant.
5. La file d’attente de réponse automatique isole désormais le contexte d’autorisation selon l’identité de l’expéditeur, empêchant l’exécution de messages en file d’attente sous des permissions incorrectes.
   Sur le plan fonctionnel, seules deux nouveautés : la définition préconfigurée du modèle gpt-5.4-pro et sa configuration tarifaire, pour assurer une compatibilité anticipée avant le lancement officiel d’OpenAI ; et la possibilité pour les sujets du forum Telegram d’afficher un nom lisible par l’humain au lieu d’un ID interne.
   (Source : BlockBeats)