从这个GitHub Pull Request截图中,关于漏洞的关键信息可以如下总结: 漏洞类型: Shell injection (CWE-78) 漏洞描述: - 在写入macOS keychain凭证时,由于使用了字符串插值和单引号转义不完整,可能导致恶意的OAuth token值引发命令注入。 - 漏洞允许攻击通过以下方式利用: - 命令替换: - 反引号展开: ` ` execSync execFileSync security execSync openclaw:main`分支。 - 本次修复的PR在GitHub上标注为大小"S",类别"agents"。 - 提交记录显示该PR被多个用户的仓库引用,证明其修复的广泛影响和重要性。 以上关键点用简洁的Markdown格式表达如下: