事件经过
CVE-2026-53840(CVSS 7.1 HIGH)于 2026-06-16 发布。OpenClaw 2026.5.12 之前的版本在跟随来自 MCP 端点的跨域重定向时不会剥离操作员配置的自定义标头。控制 MCP 服务器的攻击者可以将代理请求重定向到任意源,并收集转发的标头,其中可能包括代理操作员使用的身份验证令牌或 API 密钥。
影响分析
MCP 是将 AI 代理连接到外部工具和数据源的主要协议。通过重定向进行标头泄露在代理管道中特别危险,因为操作员通常将身份验证凭证作为自定义标头注入 — 因此单个被泄露或恶意 MCP 服务器可以无声地收集所有操作员凭证,没有任何代理的可见操作。这是 MCP 代理生态系统特有的新颖凭证盗窃向量。
攻击途径
控制或已破坏 MCP 服务器端点的攻击者发出 HTTP 重定向。OpenClaw 的可流式 HTTP 传输在重定向请求中转发操作员配置的自定义标头(包括授权、API 密钥或会话令牌)到攻击者的目标服务器,泄露敏感凭证。
受影响系统
OpenClaw < 2026.5.12(可流式 HTTP MCP 服务器传输)
缓解措施
升级 OpenClaw 到版本 2026.5.12 或更高版本。公告:https://github.com/openclaw/openclaw/security/advisories/GHSA-rjxq-qqhf-8hwh