무슨 일이 있었나
CVE-2026-53857 (CVSS 8.1 HIGH) 2026-06-16에 공개됨. 2026.5.3 이전의 OpenClaw는 정책 시행 취약점을 포함하고 있으며, 여기서 변경 가능한 디스플레이 메타데이터를 가진 Zalo 연락처가 디스플레이 이름 변경을 통해 allowFrom 정책 항목과 일치할 수 있어, 공격자가 다른 Zalo 신원을 위한 에이전트 응답을 받을 수 있게 함.
왜 중요한가
CVE-2026-53849와 동일한 클래스의 변경 가능한 신원 정책 우회이지만 Zalo 메시징 통합에 영향을 미침. 디스플레이 이름 변경 이상의 기술적 익스플로잇 없이 에이전트 파이프라인에서 승인되지 않은 프롬프트 주입 및 데이터 유출을 가능하게 함.
공격 경로
OpenClaw의 Zalo 연락처 allowFrom 정책이 안정적인 발신자 신원이 아닌 변경 가능한 디스플레이 메타데이터와 일치. 공격자가 Zalo 디스플레이 이름을 정책 항목과 일치하도록 변경하여 OpenClaw가 다른 신원을 위한 에이전트 응답을 공격자에게 라우팅하도록 함.
영향받는 시스템
OpenClaw < 2026.5.3
완화 방안
OpenClaw를 버전 2026.5.3 이상으로 업그레이드하십시오. 권고사항: https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69