OpenClaw нова версія забороняє AI-моделям активувати небезпечні налаштування через діалог

ME News Новини, 14 квітня (UTC+8), за даними моніторингу 1M AI News, платформа відкритого коду AI Agent OpenClaw випустила версію v2026.4.14. На відміну від інтенсивних оновлень функцій за останні два тижні, ця версія майже не має нових функцій, з понад 50 виправлень близько 12 безпосередньо спрямовані на підсилення безпеки, що є однією з найактивніших останніх заходів щодо посилення безпеки.
Найважливішою архітектурною зміною є обмеження прав доступу до інструменту gateway. Раніше модель AI могла через config.patch і config.apply викликати зміну конфігурації інстансу, включаючи високоризикові прапорці, такі як dangerouslyDisableDeviceAuth\ або \allowInsecureAuth. У новій версії ці виклики безпосередньо блокуються на рівні gateway tool: будь-які запити на патчі, що активують небезпечні прапорці, перераховані у списку безпеки openclaw, будуть відхилені, вже активовані прапорці залишаються без змін, а зміни безпечних налаштувань проходять як і раніше. Це означає, що навіть якщо AI буде спровокований prompt injection, він не зможе обійти захист, що базується на списку перевірки безпеки через діалог.
Інші безпекові виправлення охоплюють кілька аспектів атак:

1. Політика SSRF у браузері пройшла систематичне оновлення, виправлено кілька регресійних проблем, таких як неправильне блокування локального з’єднання Chrome у режимі strict, блокування навігації за hostname, провал у детекції режиму attach-only, а також застосовано політику SSRF до маршрутів snapshot, screenshot тощо.
2. Взаємодія з Slack тепер обов’язково перевіряє білий список allowFrom; раніше блок-дії та модальні вікна могли обходити цей список. Вхід у Microsoft Teams через SSO також додано перевірку білого списку відправників; білий список Feishu виправлено для нечутливості до регістру та уникнення плутанини з просторів імен user/chat.
3. Аналіз локальних шляхів доданих файлів тепер виконується через realpath, і у разі невдачі шлях відхиляється, щоб запобігти обходу дозволених каталогів через traversal.
4. Інтерфейс консолі замінив marked.js на markdown-it, що виправляє можливість виклику ReDoS через зловмисний Markdown, що міг спричинити зависання.
5. Автоматична черга відповідей ізоляційовано авторизується за ідентифікатором відправника, щоб запобігти виконанню повідомлень із різних відправників з неправильними правами.
   Що стосується функцій, то додано дві: заздалегідь визначено модель gpt-5.4-pro та її цінову конфігурацію для забезпечення сумісності перед офіційним запуском OpenAI; а також тепер у форумних темах Telegram можна відображати людськочитабельні назви тем, а не внутрішні ID. (Джерело: BlockBeats)