Apa yang terjadi
CVE-2026-53860 (CVSS 4.2 MEDIUM) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.7 mengandung bypass kebijakan pengirim dalam integrasi BlueBubbles-nya di mana peserta dapat mencocokkan entri allowlist melalui manipulasi metadata percakapan daripada verifikasi identitas pengirim yang stabil.
Mengapa penting
Melanjutkan pola bypass kebijakan identitas-yang-dapat-berubah di seluruh integrasi pesan OpenClaw. Jangkauan ledakan sempit (BlueBubbles adalah jembatan Apple Messages khusus) dan CVSS lebih rendah, tetapi cacat desain dasar yang sama dengan varian Discord dan Zalo.
Vektor serangan
Penyerang mempengaruhi pengidentifikasi tingkat percakapan di BlueBubbles untuk mencocokkan entri allowlist, menyebabkan OpenClaw merutekan respons agen ke penerima yang tidak dimaksudkan.
Sistem yang terdampak
OpenClaw < 2026.5.7 (integrasi BlueBubbles)
Mitigasi
Tingkatkan OpenClaw ke versi 2026.5.7 atau lebih baru. Penasihat: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g