Apa yang terjadi
CVE-2026-53851 (CVSS 5.3 MEDIUM) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.12 mengandung bypass notifikasi di mana acara reaksi Slack memasuki pipeline agen meskipun fitur dinonaktifkan dalam konfigurasi, memungkinkan penyerang untuk memicu pemrosesan agen yang tidak diinginkan.
Mengapa penting
Meskipun tingkat keparahan lebih rendah, ini mendemonstrasikan kelas serangan bypass konfigurasi terhadap pipeline acara agen AI di mana kontrol keamanan yang diterapkan di lapisan konfigurasi tidak diterapkan di lapisan pemrosesan acara — pola risiko untuk semua platform agentic yang didorong oleh acara.
Vektor serangan
Seorang penyerang mengirimkan acara reaksi Slack untuk memicu pemrosesan agen yang tidak diinginkan bahkan ketika notifikasi reaksi dikonfigurasi sebagai dinonaktifkan, yang berpotensi menyebabkan tindakan agen yang tidak diinginkan atau konsumsi sumber daya.
Sistem yang terdampak
OpenClaw < 2026.5.12 (integrasi Slack)
Mitigasi
Tingkatkan OpenClaw ke versi 2026.5.12 atau lebih baru. Pemberitahuan: https://github.com/openclaw/openclaw/security/advisories/GHSA-fcvx-5cxc-v5p8