关键信息 漏洞编号: GHSA-6hf3-mhgc-cm65 CVE ID: CVE-2026-27004 严重性: 高 漏洞详情 影响版本: =2026.2.15 漏洞描述: 在某些共享代理部署中,OpenClaw 会话工具( , , )允许比一些操作员预期的更广泛的会话目标定位。这主要是多用户环境中配置/可见性范围的问题,在这些环境中,对等对象并不被同等信任。在 Telegram webhook 模式下,当只配置了账户级别的 secret 时,监控启动也不会回退到每个账户的 。 影响 共享代理、多用户、低信任环境: 会话工具的访问可能会跨对等会话暴露会话内容。 单代理或受信环境: 实际影响有限。 Telegram webhook 模式: 如果没有提供显式的监控 webhook secret 覆盖,可能会错过账户级别的 secret 布线。 修复措施 添加并强制执行 ( 保持沙盒钳制行为,以便沙盒运行可以限制为生成的会话树可见性。 解决 Telegram webhook secret 从账户配置回退在监控 webhook 启动时的问题。 解决提交 发布过程注意事项 修复版本预设为计划的下一个发布(2026.2.15)。一旦 发布到 npm,发布此通告。 致谢 感谢 @aether-ai-agent 提供报告。