何が起きたか
CVE-2026-53860 (CVSS 4.2 MEDIUM) 2026年6月16日に公開。OpenClaw 2026.5.7より前のバージョンには、BlueBubbles統合においてSender Policy Bypassが存在し、参加者が安定したSender Identity検証ではなく、会話メタデータ操作を通じてAllowlistエントリにマッチすることができます。
なぜ重要か
OpenClawのメッセージング統合全体における可変アイデンティティPolicy Bypassのパターンを継続しています。爆発半径は限定的(BlueBubblesはニッチなApple Messagesブリッジ)で、CVSSも低いですが、DiscordおよびZaloバリアントと同じ根本的な設計欠陥があります。
攻撃経路
攻撃者はBlueBubblesの会話レベルの識別子に影響を与えてAllowlistエントリにマッチさせることで、OpenClawがエージェント応答を意図していない受信者にルーティングするように仕向けます。
影響を受けるシステム
OpenClaw < 2026.5.7 (BlueBubbles統合)
緩和策
OpenClawをバージョン2026.5.7以降にアップグレードしてください。Advisory: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g