重要なセキュリティパッチ + Android起動改善

/** 複数のCVEレベルの脆弱性に対処する高深刻度のセキュリティパッチ。AndroidはAndroid起動パフォーマンスの大幅な改善を獲得。 */

security_fixes.md

🔒 セキュリティ修正（高深刻度）

🛡ゲートウェイWebSocket認証：Control UI/Webchat以外のブラウザWebSocketクライアントにオリジンチェックを強制

🛡ゲートウェイ信頼プロキシ：Control UIの信頼プロキシペアリングバイパスにオペレーターロールが必要

🛡macOSベータオンボーディング：OAuth stateを通じてPKCEベリファイアを公開するAnthropicOAuthパスを削除

🛡Microsoft Teamsファイル同意：fileConsent/invokeアップロード受け入れを元の会話に紐付け

🛡ワークスペースFS：workspaceOnlyとapplyPatch境界チェックでハードリンクエイリアスを拒否

🛡Node exec承認：シンボリックリンクcwdパスとパス形式argvに対してsystem.run execを強化

🛡Signal：反応のみの通知エンキューの前にDM/グループ認証を強制

breaking_changes.md

⚠ハートビートdirect/DM配信デフォルトが再び'allow'に。ブロック動作を維持するにはagents.defaults.heartbeat.directPolicy: 'block'を設定してください。

new_features.md

Androidストリーミング改善

ネイティブAndroidチャットUIでのストリーミング配信処理とMarkdownレンダリング品質を改善。GitHub風Markdown動作の向上を含む。

Android起動パフォーマンス

フォアグラウンドサービス起動を遅延、WebViewデバッグ初期化をクリティカル起動パスから移動、起動マクロベンチマークと低ノイズパフォーマンスCLIスクリプトを追加。

モバイル作成レイアウト

小画面向けに作成アクションボタンのモバイルスタックレイアウトを追加。スマートフォンでの送信/セッションコントロールの使いやすさを向上。

upgrade.sh

$ npm install -g openclaw@2026.2.25