Apa yang terjadi
CVE-2026-53851 (CVSS 5.3 MEDIUM) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.12 berisi bypass notifikasi di mana acara reaksi Slack memasuki pipeline agen meskipun fitur dinonaktifkan dalam konfigurasi, memungkinkan penyerang untuk memicu pemrosesan agen yang tidak diinginkan.
Mengapa penting
Meskipun tingkat keparahan lebih rendah, ini menunjukkan kelas serangan bypass konfigurasi terhadap pipeline acara agen AI di mana kontrol keamanan yang diterapkan pada lapisan konfigurasi tidak diterapkan pada lapisan pemrosesan acara — pola risiko untuk semua platform agentic yang didorong acara.
Vektor serangan
Penyerang mengirim acara reaksi Slack untuk memicu pemrosesan agen yang tidak diinginkan bahkan ketika notifikasi reaksi dikonfigurasi sebagai dinonaktifkan, yang berpotensi menyebabkan tindakan agen yang tidak diinginkan atau konsumsi sumber daya.
Sistem yang terdampak
OpenClaw < 2026.5.12 (integrasi Slack)
Mitigasi
Tingkatkan OpenClaw ke versi 2026.5.12 atau lebih baru. Pemberitahuan: https://github.com/openclaw/openclaw/security/advisories/GHSA-fcvx-5cxc-v5p8