事件经过
OpenClaw 2026.2.12至2026.5.26之前的版本在钩子allowedAgentIds验证中包含授权绕过漏洞。低信任级别的调用者或配置的输入路径可通过提交空白代理ID来绕过代理ID限制,允许应该需要更强授权或策略检查的操作。NVD发布于2026-07-16/17,CVSS评分7.1(高,CVSS v3.1)。
影响分析
基于代理ID的访问限制是多代理OpenClaw部署中的基础控制,用于隔离哪些代理可以触发哪些钩子/操作;一个微不足道的空值绕过会破坏该隔离,并可能让未授权或低信任级别的代理触发仅供特定授权代理身份使用的钩子门控操作。
攻击途径
向钩子验证逻辑提交空白/空的agentId值以绕过allowedAgentIds限制检查
受影响系统
OpenClaw 2026.2.12至2026.5.26之前
缓解措施
升级到OpenClaw 2026.5.26或更高版本;参见GitHub安全公告GHSA-724r-v4wf-mqc5