OpenClaw новая версия запрещает моделям ИИ активировать опасные настройки через диалог

МЕ Новости, 14 апреля (UTC+8), по данным мониторинга 1M AI News, платформа открытого исходного кода AI-агентов OpenClaw выпустила версию v2026.4.14. В отличие от интенсивных обновлений функций за последние две недели, в этой версии практически нет новых функций, из более чем 50 исправлений около 12 напрямую связаны с усилением безопасности, что является одним из самых концентрированных недавних ужесточений мер безопасности.
Самое важное архитектурное изменение — ужесточение прав доступа к инструменту gateway. Ранее модели ИИ могли через config.patch и config.apply вызывать изменение конфигурации экземпляра, включая включение опасных флагов dangerouslyDisableDeviceAuth и allowInsecureAuth. В новой версии такие вызовы прямо блокируются на уровне gateway tool: все запросы на патчи, которые активируют опасные флаги, перечисленные в списке безопасности openclaw, отклоняются, активированные флаги не затрагиваются, изменения неопасных конфигурационных пунктов проходят как обычно. Это означает, что даже если ИИ будет诱ирован prompt injection, обходить защиту по списку аудита безопасности через диалог не удастся.
Остальные исправления безопасности охватывают несколько уязвимых областей:

1. Политика SSRF в браузере прошла систематическую доработку, исправлены многочисленные регрессии, такие как неправильное блокирование локальных соединений Chrome в режиме строгой безопасности, блокировка навигации по hostname, сбои обнаружения в режиме attach-only, а также принудительное применение политики SSRF для маршрутов snapshot, screenshot и др.
2. Взаимодействие в Slack теперь обязательно проверяет белый список allowFrom, ранее блок-экшн и модальные взаимодействия могли обходить этот список; вход в Microsoft Teams через SSO также дополнен проверкой отправителя по белому списку; белый список в飞书 исправлен для нечувствительности к регистру и путаницы в пространствах имен user/chat.
3. Локальный анализ путей вложений изменен: при неудаче функции realpath путь отклоняется, чтобы предотвратить обход проверки разрешенных каталогов через обход путей.
4. В интерфейсе консоли заменен marked.js на markdown-it, исправлена уязвимость, при которой злонамеренный Markdown мог вызвать зависание ReDoS.
5. В автоматической очереди ответов реализована изоляция по авторизации в зависимости от отправителя, чтобы сообщения разных отправителей не выполнялись с неправильными правами.
   По функционалу осталось две новинки: предустановленное определение модели gpt-5.4-pro и конфигурация цен для обеспечения совместимости до официального запуска OpenAI; в форумах Telegram теперь отображаются читаемые названия тем вместо внутренних ID.
   (Источник: BlockBeats)