OpenClaw новая версия запрещает AI-моделям активировать опасные настройки через диалог

МЕ Новости, 14 апреля (UTC+8), по данным мониторинга 1M AI News, платформа открытого исходного кода AI-агентов OpenClaw выпустила версию v2026.4.14.
В отличие от интенсивных обновлений функций за последние две недели, в этой версии практически нет новых функций, из более чем 50 исправлений около 12 напрямую связаны с усилением безопасности, что является одним из самых концентрированных недавних мероприятий по ужесточению безопасности.
Самое важное изменение архитектуры — это ужесточение прав доступа к инструменту gateway.
Ранее модели ИИ могли через config.patch и config.apply вызывать изменение конфигурации экземпляра, включая включение опасных флагов dangerouslyDisableDeviceAuth и allowInsecureAuth.
В новой версии такие вызовы прямо блокируются на уровне gateway tool: все запросы на патчи, которые активируют опасные флаги, перечисленные в списке безопасности openclaw, отклоняются, уже активированные флаги не затрагиваются, изменения неопасных конфигурационных пунктов проходят как обычно.
Это означает, что даже если ИИ будет诱ирован prompt injection, он не сможет обойти защиту, прописанную в списке проверок безопасности, через диалог.
Остальные исправления безопасности охватывают несколько уязвимых областей:

1. Политика SSRF в браузере прошла систематическую доработку, исправлены многочисленные регрессии, такие как неправильное блокирование локальных соединений Chrome в режиме строгой безопасности, блокировка навигации по hostname, сбои обнаружения в режиме attach-only, а также принудительное применение политики SSRF для маршрутов snapshot, screenshot и других.
2. Взаимодействие с Slack теперь обязательно проверяет белый список allowFrom; ранее блок-акции и модальные окна могли обходить этот белый список; вход в Microsoft Teams через SSO также дополнен проверкой отправителя по белому списку; белый список Feishu исправлен для нечувствительности к регистру и путаницы с пространствами имен user/chat.
3. Локальный анализ путей вложений изменен так, что при неудаче вызова realpath путь отклоняется, чтобы предотвратить обход проверки разрешенных каталогов через обход путей.
4. В интерфейсе консоли заменен marked.js на markdown-it, исправлена уязвимость ReDoS, которая могла вызвать зависание при обработке вредоносного Markdown.
5. В автоматической очереди ответов авторизация по контексту осуществляется по идентификатору отправителя, чтобы предотвратить выполнение сообщений из разных источников с неправильными правами.
   По функционалу осталось две новинки: предустановленное определение модели gpt-5.4-pro и конфигурация цен для обеспечения совместимости перед официальным запуском OpenAI;
   Форумные темы в Telegram теперь отображают читаемые названия, а не внутренние ID.
   (Источник: BlockBeats)