취약점  ·  2026-07-18

OpenClaw Agent-Mode Dispatch 인증 우회로 인한 Tool Allowlist Policy 무시 (CVE-2026-62209)

취약점High 영향도GlobalCVE-2026-62209
OpenClaw 버전 2026.5.10-beta.1부터 2026.6.5 이전 버전은 ClickClack 에이전트 모드 dispatch 기능의 인증 우회를 포함하고 있으며, toolsAllow 정책 검사를 무시할 수 있습니다. 영향을 받는 기능이 활성화되고 도달 가능할 때, 낮은 신뢰 수준의 호출자 또는 구성된 입력 경로는 강화된 인증이 필요한 작업을 수행할 수 있습니다. NVD는 2026-07-16/17에 CVSS 8.1 (High, CVSS v3.1)로 발표했습니다.
이것은 직접적인 에이전트-도구 인증 우회입니다 - 낮은 권한 또는 신뢰할 수 없는 입력 경로가 에이전트의 정책이 제한하도록 설계된 도구를 호출할 수 있게 하는 정확한 결함 클래스이며, 에이전틱 AI 보안 제어의 핵심입니다. 에이전트 모드 dispatcher의 toolsAllow 정책을 우회하면 공격자가 제어하는 입력 경로가 운영자가 명시적으로 차단하려고 시도한 특권 도구 작업(파일 액세스, 명령 실행 등)을 트리거할 수 있습니다.
toolsAllow 정책 검사를 우회하기 위해 ClickClack 에이전트 모드 dispatch 기능을 악용하여 낮은 신뢰 수준의 호출자 또는 구성된 입력 경로가 제한된 도구를 호출할 수 있도록 합니다.
OpenClaw 2026.5.10-beta.1부터 2026.6.5 이전
OpenClaw 2026.6.5 이상으로 업그레이드하세요. GitHub 보안 권고 GHSA-wp73-f3gg-w4vr를 참조하세요.
GitHub Security Advisory GHSA-wp73-f3gg-w4vrNVD CVE-2026-62209
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →