漏洞关键信息总结 漏洞概述 漏洞名称:Channel commands could bypass account-scoped restrictions CVE编号:无已知CVE CWE分类:CWE-639, CWE-862 严重程度:中等 (6.5/10) 核心问题:在受影响版本中,OpenClaw 的通道发起的配置变更仅针对发起账户的 策略进行授权,但未一致性地重新检查目标账户的作用域。当目标账户设置了 时,拥有授权的发送方仍可修改受保护的同级账户配置。 --- 影响范围 具体影响:单网关部署中的账户级策略绕过。通道命令如: 配置支持的 可修改受保护的同级账户配置。 --- 技术细节 变异路径验证了源账户作用域,但未对每个解析的目标作用域进行一致授权。 和 下的模糊集合和根写入可能通过通道命令接口触及受保护的账户配置。 --- 修复方案 官方修复(已包含在 2026.3.11): 配置变更现针对源作用域和每个解析的目标作用域进行授权 拒绝来自通道命令的模糊根和集合写入,除非调用方是具有 权限的内部网关客户端 临时缓解方案: 升级至 2026.3.11 或更高版本 --- 致谢 报告者:tdjackey