OpenClaw新版禁止AI模型通过对话开启高危配置

　　消息，4 月 14 日，开源 AI Agent 平台 OpenClaw 发布 v2026.4.14。与近两周密集的功能更新不同，此版本几乎没有新功能，50 余项修复中约 12 项直接指向安全加固，是近期最集中的一次安全收紧。 最重要的架构变化是对 gateway tool 的权限收紧。此前，AI 模型可以通过 config.patch 和 config.apply 调用修改实例配置，包括开启 dangerouslyDisableDeviceAuth`、`allowInsecureAuth 等高危标志位。新版本在 gateway tool 层面直接拦截这类调用：凡是会新启用 openclaw security audit 所列举的危险标志的 patch 请求一律被拒绝，已启用的标志不受影响，非危险配置项的修改照常通过。这意味着即使 AI 被 prompt injection 诱导，也无法通过对话绕过安全审计清单上的防护。 其余安全修复覆盖多个攻击面： 1. 浏览器 SSRF 策略经历一轮系统性修补，修复了严格模式下本地 Chrome 连接被误拦、hostname 导航被阻断、attach-only 模式探测失败等多个回归问题，同时对 snapshot、screenshot 等路由强制执行 SSRF 策略 2. Slack 交互事件现在强制校验 allowFrom 白名单，此前 block-action 和 modal 交互可绕过该白名单；Microsoft Teams 的 SSO 登录同样补上了发送者白名单检查；飞书白名单修复了大小写不敏感匹配和 user/chat 命名空间混淆 3. 本地附件路径解析改为 realpath 失败即拒绝，防止路径遍历绕过允许目录检查 4. 控制台前端将 marked.js 替换为 markdown-it，修复恶意 Markdown 可触发的 ReDoS 冻结 5. 自动回复队列按发送者身份隔离授权上下文，防止不同发送者的排队消息在错误的权限下执行 功能方面仅有两项：预置 gpt-5.4-pro 模型定义和定价配置，在 OpenAI 正式上线前提供前向兼容；Telegram 论坛话题现在能显示人类可读的话题名称而非内部 ID。