OpenClaw: Gemini OAuth expôs o verificador PKCE através do parâmetro OAuth `state`

## Resumo Antes do OpenClaw 2026.4.2, o fluxo Gemini OAuth reutilizava o verificador PKCE como o valor `state` do OAuth. Como o provedor refletia `state` de volta na URL de redirecionamento, o verificador poderia ser exposto junto com o código de autorização. ## Impacto Qualquer pessoa que pudesse capturar a URL de redirecionamento poderia aprender tanto o código de autorização quanto o verificador PKCE, frustrando a proteção de interceptação PKCE para esse fluxo e permitindo o resgate do token. ## Pacotes / Versões Afetadas - Pacote: `openclaw` (npm) - Versões afetadas: `<= 2026.4.1` - Versões corrigidas: `>= 2026.4.2` - Última versão publicada no npm: `2026.4.1` ## Commit(s) de Correção - `a26f4d0f3ef0757db6c6c40277cc06a5de76c52f` — separar o estado OAuth do verificador PKCE OpenClaw agradece a @BG0ECV por reportar.