当前位置:主页 > 推荐 >

OpenClaw新版禁止AI模型通过对话开启高危配置

时间:2026-04-15 03:23:11

  消息,4 月 14 日,开源 AI Agent 平台 OpenClaw 发布 v2026.4.14。与近两周密集的功能更新不同,此版本几乎没有新功能,50 余项修复中约 12 项直接指向安全加固,是近期最集中的一次安全收紧。 最重要的架构变化是对 gateway tool 的权限收紧。此前,AI 模型可以通过 config.patch 和 config.apply 调用修改实例配置,包括开启 dangerouslyDisableDeviceAuth`、`allowInsecureAuth 等高危标志位。新版本在 gateway tool 层面直接拦截这类调用:凡是会新启用 openclaw security audit 所列举的危险标志的 patch 请求一律被拒绝,已启用的标志不受影响,非危险配置项的修改照常通过。这意味着即使 AI 被 prompt injection 诱导,也无法通过对话绕过安全审计清单上的防护。 其余安全修复覆盖多个攻击面: 1. 浏览器 SSRF 策略经历一轮系统性修补,修复了严格模式下本地 Chrome 连接被误拦、hostname 导航被阻断、attach-only 模式探测失败等多个回归问题,同时对 snapshot、screenshot 等路由强制执行 SSRF 策略 2. Slack 交互事件现在强制校验 allowFrom 白名单,此前 block-action 和 modal 交互可绕过该白名单;Microsoft Teams 的 SSO 登录同样补上了发送者白名单检查;飞书白名单修复了大小写不敏感匹配和 user/chat 命名空间混淆 3. 本地附件路径解析改为 realpath 失败即拒绝,防止路径遍历绕过允许目录检查 4. 控制台前端将 marked.js 替换为 markdown-it,修复恶意 Markdown 可触发的 ReDoS 冻结 5. 自动回复队列按发送者身份隔离授权上下文,防止不同发送者的排队消息在错误的权限下执行 功能方面仅有两项:预置 gpt-5.4-pro 模型定义和定价配置,在 OpenAI 正式上线前提供前向兼容;Telegram 论坛话题现在能显示人类可读的话题名称而非内部 ID。

热点推荐
1 XRP七月开局上涨13%,历史显示后续还有更

消息,XRP在七月初强劲反弹,短短三天内上涨超过13%,这一趋势重新点燃了投资者对加密生态...

2 Michael Saylor:AI泡沫吸引资金,预计比特币

Michael Saylor在布拉格表示,当前比特币滞后于标普500指数的原因在于,约5000亿美元的资金正涌...

3 CZ提议冻结中本聪比特币引发激烈辩论

消息,币安创始人赵长鹏提出冻结比特币创始人中本聪持有的约110万枚比特币的计划,引发了...

4 美国总统特朗普:美国和伊朗决定暂停会

消息,美国总统特朗普:美国和伊朗决定暂停会谈一周。哈梅内伊葬礼相关事宜结束前,美伊...

5 Schwab与Hashdex研究人员称比特币与股市脱钩

消息,Schwab与Hashdex研究人员表示,人工智能分流了数字资产资金,比特币正遵循熟悉的减半后...

6 比特币突破63000美元,24小时内清算超1.

消息,刚刚,比特币价格突破63000美元,过去24小时内清算了超过1.97亿美元的空单,为此次上涨...

7 美国5月M2货币供应量创历史新高,达23.

美国联邦储备局数据显示,5月季调后广义货币供应量M2升至23.05万亿美元,首次突破23万亿美元...

8 德国储蓄银行将为零售客户提供加密交易

德国的储蓄银行网络正在为数百万零售客户推出加密交易服务。这一历史悠久的银行网络已有...

9 Bitway开启第四季Booster活动

消息,Bitway于2026年7月5日08:00至2026年8月19日07:59期间开启第四季Booster活动。用户通过Binance Wa...

10 hinkal隐私协议遭攻击,约79.7万USDC被提取

消息,吴说获悉,隐私协议hinkal更新安全事件,确认攻击者通过一系列交易从其以太坊合约中...

成都来彰科技 蜀ICP备2025134723号-1

资讯来源互联网,如有版权问题请联系管理员删除。