Phiên bản mới của OpenClaw cấm mô hình AI kích hoạt cấu hình nguy hiểm thông qua đối thoại

Thông tin ME News, ngày 14 tháng 4 (UTC+8), theo theo dõi của 1M AI News, nền tảng AI Mở nguồn OpenClaw đã phát hành phiên bản v2026.4.14. Khác với các cập nhật chức năng dày đặc trong hai tuần gần đây, phiên bản này hầu như không có chức năng mới, trong hơn 50 bản sửa lỗi thì khoảng 12 mục trực tiếp nhắm vào tăng cường an ninh, là lần siết chặt an ninh tập trung nhất gần đây.
Thay đổi kiến trúc quan trọng nhất là việc thu hẹp quyền hạn của công cụ gateway. Trước đây, mô hình AI có thể thông qua config.patch và config.apply để gọi chỉnh sửa cấu hình ví dụ, bao gồm bật các cờ nguy hiểm như dangerouslyDisableDeviceAuth\、\allowInsecureAuth. Phiên bản mới trực tiếp chặn các cuộc gọi kiểu này ở cấp độ công cụ gateway: tất cả các yêu cầu patch kích hoạt các cờ nguy hiểm do danh sách kiểm tra bảo mật openclaw security audit liệt kê đều bị từ chối, các cờ đã bật không bị ảnh hưởng, các thay đổi cấu hình không nguy hiểm vẫn được chấp nhận như bình thường.
Điều này có nghĩa là ngay cả khi AI bị dụ dỗ bằng prompt injection, cũng không thể vượt qua danh sách kiểm tra bảo mật qua đối thoại.
Các sửa lỗi bảo mật còn lại bao gồm nhiều mặt tấn công:

1. Chính sách SSRF trình duyệt đã trải qua một đợt sửa chữa hệ thống, khắc phục các vấn đề hồi quy như kết nối Chrome cục bộ bị chặn nhầm trong chế độ nghiêm ngặt, điều hướng hostname bị chặn, thất bại trong phát hiện chế độ attach-only, đồng thời thực thi bắt buộc chính sách SSRF đối với các route snapshot, screenshot.
2. Sự kiện tương tác Slack hiện bắt buộc kiểm tra whitelist allowFrom, trước đây các hành động block và modal có thể bỏ qua whitelist này; đăng nhập SSO của Microsoft Teams cũng đã bổ sung kiểm tra whitelist người gửi; whitelist của Feishu đã sửa lỗi không phân biệt chữ hoa chữ thường và nhầm lẫn namespace user/chat.
3. Phân tích đường dẫn tệp đính kèm cục bộ chuyển sang dùng realpath, thất bại sẽ từ chối, nhằm ngăn chặn vượt qua kiểm tra thư mục cho phép bằng đường dẫn traversal.
4. Giao diện điều khiển phía trước đã thay thế marked.js bằng markdown-it, sửa lỗi gây treo ReDoS do Markdown độc hại kích hoạt.
5. Hàng đợi tự động phản hồi phân tách theo quyền của người gửi, nhằm ngăn chặn các tin nhắn xếp hàng của các người gửi khác nhau thực thi dưới quyền sai.
   Chỉ có hai chức năng mới: định nghĩa mô hình gpt-5.4-pro và cấu hình giá trước, để đảm bảo tương thích trước khi OpenAI chính thức ra mắt; chủ đề trên diễn đàn Telegram hiện có thể hiển thị tên chủ đề dễ đọc hơn là ID nội bộ. (Nguồn: BlockBeats)