무슨 일이 있었나
OpenClaw 2026.2.12부터 2026.5.26 이전 버전은 hooks allowedAgentIds 검증의 인증 우회 취약점을 포함합니다. 낮은 신뢰 수준의 호출자 또는 구성된 입력 경로는 공백 에이전트 ID를 제출하여 에이전트 ID 제한을 우회할 수 있으며, 더 강한 인증 또는 정책 검사가 필요한 작업을 허용합니다. NVD는 2026-07-16/17에 CVSS 7.1 (High, CVSS v3.1)로 발표했습니다.
왜 중요한가
에이전트 ID 기반 액세스 제한은 다중 에이전트 OpenClaw 배포에서 어떤 에이전트가 어떤 hooks/작업을 트리거할 수 있는지를 분리하기 위한 기초적 제어입니다. 사소한 공백값 우회는 그 격리를 훼손하고 특정 인증된 에이전트 ID에만 의도된 hook 제어 작업을 권한 없는 또는 낮은 신뢰 수준의 에이전트가 트리거하도록 할 수 있습니다.
공격 경로
allowedAgentIds 제한 검사를 우회하기 위해 hooks 검증 로직에 공백/빈 agentId 값을 제출합니다.
영향받는 시스템
OpenClaw 2026.2.12부터 2026.5.26 이전
완화 방안
OpenClaw 2026.5.26 이상으로 업그레이드하세요. GitHub 보안 권고 GHSA-724r-v4wf-mqc5를 참조하세요.