무슨 일이 있었나
CVE-2026-53860 (CVSS 4.2 MEDIUM) 2026-06-16에 공개됨. OpenClaw 2026.5.7 이전 버전에는 BlueBubbles 통합에서 sender policy bypass가 포함되어 있으며, 참여자가 안정적인 발신자 신원 확인 대신 conversation metadata 조작을 통해 allowlist 항목을 매칭할 수 있음.
왜 중요한가
OpenClaw의 메시징 통합 전반에 걸친 mutable-identity policy bypasses 패턴을 계속함. 좁은 영향 범위 (BlueBubbles는 Apple Messages 브리지의 틈새 제품) 및 낮은 CVSS이지만, Discord 및 Zalo 변형과 동일한 기본 설계 결함.
공격 경로
공격자가 BlueBubbles의 conversation 수준 식별자에 영향을 미쳐 allowlist 항목을 매칭하도록 하여, OpenClaw가 agent 응답을 의도하지 않은 수신자에게 라우팅하도록 함.
영향받는 시스템
OpenClaw < 2026.5.7 (BlueBubbles integration)
완화 방안
OpenClaw를 버전 2026.5.7 이상으로 업그레이드하세요. Advisory: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g