漏洞概述 该提交修复了 Zalo 扩展中的一个安全问题:图片下载前未进行 DM(Direct Message)授权验证。攻击者可能通过发送图片消息绕过授权检查,导致未授权的图片下载和处理。 影响范围 组件: OpenClaw 平台的 Zalo 扩展 ( ) 文件: - - 版本: v2026.3.28-beta.1 之前版本 修复方案 核心修复是在图片下载之前增加授权检查( ),而非下载之后再验证。关键变更: 1. 新增授权类型定义: 2. 重构 函数: 在下载媒体文件前调用 进行授权验证 3. 新增 函数: 独立封装授权逻辑,提前判断消息是否允许处理 4. 测试用例: 新增测试确保未授权 DM 图片在下载媒体前被拒绝 关键安全逻辑: 使用 作为哨兵值,在授权完成前标记待处理状态,防止未授权下载。