무슨 일이 있었나
CVE-2026-53860 (CVSS 4.2 MEDIUM) 2026-06-16 공개. OpenClaw 2026.5.7 이전 버전에는 BlueBubbles 통합에서 발신자 정책 우회가 포함되어 있으며, 참여자들이 안정적인 발신자 신원 확인이 아닌 대화 메타데이터 조작을 통해 허용목록 항목을 일치시킬 수 있습니다.
왜 중요한가
OpenClaw의 메시징 통합 전반에 걸쳐 변경 가능한 신원 정책 우회 패턴을 계속합니다. 좁은 영향 범위(BlueBubbles는 Apple Messages 브리지 틈새 제품)와 낮은 CVSS이지만, Discord 및 Zalo 변형과 동일한 기본 설계 결함입니다.
공격 경로
공격자가 BlueBubbles의 대화 수준 식별자를 조작하여 허용목록 항목을 일치시키므로, OpenClaw가 에이전트 응답을 의도하지 않은 수신자에게 라우팅하게 됩니다.
영향받는 시스템
OpenClaw < 2026.5.7 (BlueBubbles 통합)
완화 방안
OpenClaw를 2026.5.7 버전 이상으로 업그레이드하십시오. 공지사항: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g