10:57

OpenClaw v2026.2.12: безопасность hooks и URL‑вводов

В этом выпуске много изменений про безопасность и «гигиену» инфраструктуры, плюс несколько полезных улучшений для CLI и Telegram.

Главное (что почувствуют обычные пользователи)

• Логи в CLI стали удобнее: появился режим локального времени для просмотра (openclaw logs --local-time).
• В Telegram улучшили отображение цитат: blockquote больше не «съедается».

Безопасность: что важно знать

1) URL‑вложения (файлы/картинки) стали строже

Добавили/усилили политику против SSRF для URL‑вводов: deny‑правила, allowlist по хостам, лимиты и аудит для заблокированных запросов.

Практический вывод: если у вас есть сценарии «скачай файл по URL», имеет смысл:

• заранее собрать список доверенных доменов,
• включить allowlist,
• проверить, что редиректы ведут на ожидаемые хосты.

2) Hooks: sessionKey override теперь ограничен по умолчанию

POST‑hook теперь по умолчанию отклоняет попытки подменять sessionKey во входящем payload.

Практический вывод: если у вас сломались хуки, проверьте настройки defaultSessionKey/разрешённые префиксы и уберите sessionKey из внешних запросов, если он там не нужен.

Что делать после обновления

• Если используете hooks — прогоните тестовый запрос и проверьте логи.
• Если используете URL‑вложения — проверьте, что нужные домены разрешены.

Внутренние ссылки

• Почему URL allowlist важен: URL allowlist
• Что такое hooks: Hooks в OpenClaw
• Если hook перестал работать: sessionKey override отклонён

Release notes (en): v2026.2.12