漏洞总结:Gateway HTTP endpoints re-resolve bearer auth after SecretRef rotation 漏洞概述 OpenClaw 的 Gateway HTTP 和 WebSocket 处理器在服务器启动时捕获了已解析的 bearer-auth 配置。在 SecretRef 轮换后,已运行的 Gateway 可能会继续接受旧的 bearer token,直到重启。 影响范围 受影响版本: 修复版本: 严重程度: High 影响: 本应被 SecretRef 轮换撤销的 bearer token 可能会在 Gateway HTTP 和升级表面上保持有效,直到进程结束。 修复方案 OpenClaw 版本修复了该问题,改为从运行时秘密快照中获取活动 Gateway auth,并在每次请求和每次升级时重新解析 bearer auth,而不是使用启动时的静态值。 验证修复 在 中验证: 暴露了 ,由当前运行时秘密快照支持。 为每个 HTTP 请求和 WebSocket 升级调用 ,在运行 auth 检查之前。 验证了轮换后重新解析 bearer auth 并拒绝旧 token。 修复提交 修复提交包含在 中,并从 中缺失。 提交哈希: 相关 PR: #66651 致谢 感谢 @zxsoft、Keen Security Lab 和 @qclawer 报告此问题。