漏洞概述 该漏洞涉及OpenClaw项目中连接快照元数据的管理员范围客户端问题。具体表现为: 连接快照元数据被错误地暴露给管理员范围客户端。 连接快照的信任边界未明确。 连接快照在changelog中的变化未记录。 从PR中移除了changelog更改。 添加了用于作用域网关快照元数据的changelog。 影响范围 受影响文件: - - - - - 具体影响: - 连接快照元数据可能被非授权客户端访问。 - 连接快照的信任边界不明确,可能导致安全风险。 - changelog中缺少相关变更记录,影响版本管理和审计。 修复方案 代码修改: - 在 中,增加了 函数,确保只有具有更广泛网关访问权限的管理员调用者才能看到解析路径。 - 在 中,更新了 函数,确保快照的构建和更新逻辑正确。 测试用例: - 在 中,增加了测试用例,验证低权限客户端不会自动配对非控制UI浏览器客户端。 - 在 中,增加了测试用例,验证连接快照的兼容性基线。 POC代码