漏洞  ·  2026-07-19

OpenClaw ClickClack代理模式调度授权绕过忽略toolsAllow策略

漏洞High 影响GlobalCVE-2026-62209
GitHub安全公告(CVSS 8.1)披露了OpenClaw ClickClack代理模式调度路径中的授权绕过,可能允许toolsAllow允许列表策略被忽略,让信任度较低的输入路径调用超出其预期范围的工具。
OpenClaw是一个聊天驱动的代理网关;toolsAllow绕过意味着能够通过较低信任通道(例如群聊或webhook)访问代理的攻击者可以调用运营商明确打算限制的特权工具操作,击败代理工具使用的主要访问控制机制。
ClickClack代理模式调度功能可能忽略toolsAllow策略检查,该检查用于管制代理允许调用的工具。启用该功能并可访问时,较低信任的调用者或配置的输入路径(例如入站聊天消息)可以触发应该需要更强授权检查的工具操作。
OpenClaw版本2026.5.10-beta.1至2026.6.5之前
升级到OpenClaw 2026.6.5或更新版本;查看GHSA-wp73-f3gg-w4vr获取配置指导。
GitHub Security Advisory GHSA-wp73-f3gg-w4vrTenable CVE-2026-62209
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →