漏洞  ·  2026-07-18

OpenClaw代理模式分发授权绕过忽视工具允许列表策略(CVE-2026-62209)

漏洞High 影响GlobalCVE-2026-62209
OpenClaw 2026.5.10-beta.1至2026.6.5之前的版本在ClickClack代理模式分发功能中包含授权绕过,可能导致toolsAllow策略检查被忽视。当受影响的功能被启用且可达时,低信任级别的调用者或配置的输入路径可能执行需要更强授权的操作。NVD发布于2026-07-16/17,CVSS评分8.1(高,CVSS v3.1)。
这是直接的代理工具授权绕过——这正是允许低权限或不信任的输入路径调用代理策略旨在限制的工具的漏洞类型,是核心的agentic AI安全控制。绕过代理模式分发器中的toolsAllow策略可以让攻击者控制的输入路径触发操作员明确试图防护的特权工具操作(文件访问、命令执行等)。
利用ClickClack代理模式分发功能绕过toolsAllow策略检查,允许低信任级别的调用者或配置的输入路径调用受限工具
OpenClaw 2026.5.10-beta.1至2026.6.5之前
升级到OpenClaw 2026.6.5或更高版本;参见GitHub安全公告GHSA-wp73-f3gg-w4vr
GitHub Security Advisory GHSA-wp73-f3gg-w4vrNVD CVE-2026-62209
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →