CVE-2026-32924 — 神龙十问 AI 深度分析摘要

🚨 **本质**：飞书反应事件（Reaction Events）的**授权绕过**。 🔥 **后果**：攻击者可绕过群聊的 `groupAllowFrom` 和 `requireMention` 保护机制，非法触发 AI 助理行为。

🛡️ **CWE**：CWE-863（不正确的授权）。 🔍 **缺陷点**：当 `chat_type` 参数被省略时，系统错误将其分类为**点对点（P2P）对话**，而非群聊。

📦 **产品**：OpenClaw（OpenClaw 开源智能助理）。 ⚠️ **版本**：**2026.3.12 之前**的所有版本均受影响。

💰 **权限**：完全绕过群聊访问控制。 📊 **数据**：CVSS 评分极高（C:H/I:H/A:H），可能导致**机密性、完整性、可用性**全面受损。

🚪 **门槛**：**极低**。 🔑 **条件**：网络访问（AV:N）、低复杂度（AC:L）、无需认证（PR:N）、无需用户交互（UI:N）。

🧪 **Exp**：当前 **PoC 为空**（pocs: []）。 🌍 **在野**：暂无公开在野利用报告，但漏洞原理清晰，利用风险高。

🔎 **自查**：检查飞书集成日志，寻找 `chat_type` 缺失或异常的反应事件。 📡 **扫描**：监控未授权触发的 AI 响应请求。

🩹 **补丁**：已发布修复。 ✅ **方案**：升级至 **OpenClaw 2026.3.12 或更高版本**。

🛡️ **临时规避**：强制要求所有 API 请求必须显式传递 `chat_type` 字段。 🚫 **策略**：在网关层拦截缺少 `chat_type` 的反应事件请求。

🔥 **优先级**：**紧急**。 ⚡ **理由**：CVSS 向量显示为高危（AV:N/PR:N/UI:N），无需任何权限即可远程利用，建议立即升级。