CVE-2026-32975 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenClaw 的 Zalouser 白名单逻辑存在缺陷。 🔥 **后果**：攻击者可利用**可变群组名**冒充白名单用户，直接**绕过频道授权**限制。

🛡️ **CWE-807**：不安全的设计。 🔍 **缺陷点**：系统匹配的是**群组显示名称**（Mutable），而非**稳定的群组标识符**（Immutable）。

📦 **产品**：OpenClaw (智能人工助理)。 📅 **版本**：**2026.3.12 之前**的所有版本均受影响。

👮 **权限**：获得未授权的**频道访问权限**。 📊 **数据**：可能泄露受保护频道的**敏感信息**（CVSS 显示 C:H/I:H/A:H）。

📉 **门槛低**。 ✅ **无需认证** (PR:N)。 ✅ **无需用户交互** (UI:N)。 ✅ **攻击向量网络** (AV:N)。

🚫 **无现成 Exp**。 📄 数据中 `pocs` 为空，暂无公开 PoC 或确凿的在野利用报告。

🔍 **自查特征**：检查是否使用 Zalouser 白名单模式。 🛠️ **扫描点**：确认群组识别逻辑是否依赖**显示名称**而非唯一 ID。

✅ **已修复**。 📌 **补丁版本**：升级至 **OpenClaw 2026.3.12** 或更高版本。

🛡️ **临时规避**： 1. 禁用 Zalouser 白名单模式。 2. 强制使用**固定群组 ID**进行权限校验。 3. 限制群组名称修改权限。

🔴 **紧急**。 ⚡ **优先级：高**。 💡 CVSS 评分极高 (AV:N/AC:L/PR:N/UI:N)，极易被自动化利用，建议**立即升级**。