OpenClaw нова версія забороняє AI-моделям активувати небезпечні налаштування через діалог

ME News Новини, 14 квітня (UTC+8), за даними моніторингу 1M AI News, платформа відкритого коду AI Agent OpenClaw випустила версію v2026.4.14. На відміну від інтенсивних оновлень функцій за останні два тижні, ця версія майже не має нових функцій, з понад 50 виправлень близько 12 безпосередньо спрямовані на підсилення безпеки, що є найзосередженішим зусиллям з посилення безпеки останнім часом.
Найважливішою архітектурною зміною є посилення обмежень доступу до інструменту gateway. Раніше модель AI могла через config.patch і config.apply викликати зміни конфігурації інстансу, включаючи активацію високоризикових прапорців, таких як dangerouslyDisableDeviceAuth\ або \allowInsecureAuth. Новий реліз безпосередньо перехоплює такі виклики на рівні gateway tool: будь-які запити на патч, що активують небезпечні прапорці, перераховані у списку безпеки openclaw, будуть відхилені; активовані прапорці залишаються без змін, зміни безпечних налаштувань проходять як зазвичай. Це означає, що навіть якщо AI буде спровоковано prompt injection, він не зможе обійти захисти, що знаходяться у списку перевірки безпеки через діалог.
Інші безпекові виправлення охоплюють кілька аспектів атак:

1. Політика SSRF у браузері пройшла систематичне оновлення, виправлено кілька регресійних проблем, таких як неправильне блокування локального з’єднання Chrome у режимі strict, блокування навігації за hostname, провал детекції у режимі attach-only, а також застосовано політику SSRF до маршрутів snapshot, screenshot тощо.
2. Взаємодія з Slack тепер обов’язково перевіряє білий список allowFrom; раніше блок-дії та модальні вікна могли обійти цю перевірку. У Microsoft Teams додано перевірку білого списку відправників для SSO входу; у Feishu виправлено нечутливість до регістру у білому списку та плутанину у просторі імен user/chat.
3. Аналіз локальних шляхів доданих файлів тепер виконується через realpath, і у разі невдачі шлях відхиляється, щоб запобігти обходу дозволених каталогів через traversal.
4. Передній край консолі замінив marked.js на markdown-it, що виправляє можливість виклику ReDoS через зловмисний Markdown, що міг спричинити зависання.
5. Автоматична черга відповідей ізоляє контекст авторизації за відправником, щоб запобігти виконанню повідомлень різних відправників з неправильними правами.
   Що стосується функцій, то додано дві: заздалегідь визначено модель gpt-5.4-pro та її цінову конфігурацію для забезпечення сумісності перед офіційним запуском OpenAI; тепер у форумі Telegram можна відображати людськочитабельні назви тем, а не внутрішні ID. (Джерело: BlockBeats)