CVE-2026-32974OpenClaw在2026.3.12之前的版本中,飞书Webhook模式存在严重的安全缺陷。当系统仅配置了verificationToken而未配置encryptKey时,无法有效验证请求来源的真实性。未经身份验证的远程攻击者可利用此漏洞,通过向Webhook端点发送伪造的飞书事件数据,绕过安全验证机制,进而触发下游工具的执行。
该漏洞源于OpenClaw对飞书Webhook请求的鉴权逻辑不严谨。飞书Webhook机制推荐使用AES加密的encryptKey配合签名验证请求体完整性,而verificationToken仅作为简单的令牌比对。在受影响版本中,若仅启用verificationToken,OpenClaw仅校验请求头中的Token是否匹配,忽略了对请求体加密签名的校验。攻击者无需知道encryptKey或进行复杂的签名计算,只需在HTTP请求中附带截获或猜测的verificationToken,并构造恶意JSON数据作为事件载荷发送至服务器。服务器接收后,将其视为合法的飞书事件并解析,最终导致攻击者控制的下游命令或操作被执行。