Kerentanan  ·  2026-07-19

Bypass Otorisasi Pengiriman Mode Agen OpenClaw ClickClack Mengabaikan Kebijakan toolsAllow

KerentananHigh dampakGlobalCVE-2026-62209
Penasihat Keamanan GitHub (CVSS 8.1) mengungkapkan bypass otorisasi di jalur pengiriman mode agen ClickClack OpenClaw yang dapat mengizinkan kebijakan allowlist toolsAllow diabaikan, membiarkan jalur input yang kurang terpercaya memanggil alat di luar cakupan yang dimaksudkan.
OpenClaw adalah gateway agen yang didorong obrolan; bypass toolsAllow berarti penyerang yang dapat menjangkau agen melalui saluran kepercayaan lebih rendah (misalnya obrolan grup atau webhook) dapat memanggil tindakan alat istimewa yang secara eksplisit dimaksudkan operator untuk dibatasi, mengalahkan mekanisme kontrol akses utama untuk penggunaan alat agen.
Fitur pengiriman mode agen ClickClack dapat mengabaikan pemeriksaan kebijakan toolsAllow yang dimaksudkan untuk membatasi alat mana yang diizinkan untuk dipanggil agen. Ketika fitur diaktifkan dan dapat dijangkau, penelepon kepercayaan lebih rendah atau jalur input yang dikonfigurasi (misalnya pesan obrolan masuk) dapat memicu tindakan alat yang seharusnya memerlukan pemeriksaan otorisasi yang lebih kuat.
Versi OpenClaw 2026.5.10-beta.1 sebelum 2026.6.5
Tingkatkan ke OpenClaw 2026.6.5 atau lebih baru; tinjau GHSA-wp73-f3gg-w4vr untuk panduan konfigurasi.
GitHub Security Advisory GHSA-wp73-f3gg-w4vrTenable CVE-2026-62209
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →