무슨 일이 있었나
CVE-2026-53857 (CVSS 8.1 HIGH) 2026-06-16에 공개됨. 2026.5.3 이전의 OpenClaw는 정책 시행 취약점을 포함하고 있으며, 변경 가능한 표시 메타데이터를 가진 Zalo 연락처가 표시 이름 변경을 통해 allowFrom 정책 항목과 일치할 수 있어, 공격자가 다른 Zalo 신원을 위해 의도된 에이전트 응답을 수신할 수 있음.
왜 중요한가
CVE-2026-53849와 동일한 클래스의 변경 가능한 신원 정책 우회이지만 Zalo 메시징 통합에 영향을 미침. 표시 이름 변경 이외의 기술적 악용 없이 에이전트 파이프라인에서 무단 프롬프트 주입 및 데이터 유출을 가능하게 함.
공격 경로
OpenClaw의 Zalo 연락처에 대한 allowFrom 정책은 안정적인 발신자 신원이 아닌 변경 가능한 표시 메타데이터와 일치함. 공격자가 자신의 Zalo 표시 이름을 정책 항목과 일치하도록 변경하면, OpenClaw는 다른 신원을 위해 의도된 에이전트 응답을 공격자에게 라우팅함.
영향받는 시스템
OpenClaw < 2026.5.3
완화 방안
OpenClaw를 2026.5.3 이상 버전으로 업그레이드하십시오. 권고사항: https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69