漏洞总结 漏洞概述 OpenClaw 项目中存在一个 Telegram 配对允许列表(pairing allowFrom)迁移逻辑缺陷。该缺陷导致系统无法正确将旧版 Telegram 配对的允许列表从默认账户迁移到配置的名称账户或绑定的代理账户。 影响范围 影响使用 Telegram 集成的 OpenClaw 用户 影响从旧版状态迁移到新配置的用户 可能导致 Telegram 配对功能异常或无法正常工作 修复方案 1. 修改 中的 函数,确保正确解析默认 Telegram 账户 ID 2. 更新 中的迁移逻辑,正确处理 legacy Telegram pairing allowFrom 的迁移 3. 添加完整的测试用例验证迁移功能: - 测试 legacy Telegram pairing allowFrom 迁移到配置的名称账户 - 测试 legacy Telegram pairing allowFrom 迁移到默认代理绑定账户 - 验证迁移后的文件内容和权限设置 POC/利用代码