1  info:
 2    name: OpenClaw
 3    cve: CVE-2026-27003
 4    summary: OpenClaw OC-17：Telegram 机器人令牌通过日志泄露
 5    details: >-
 6      漏洞
 7  
 8  
 9      Telegram 机器人令牌可能出现在错误消息和堆栈跟踪中（例如，当请求 URL 包含 https://api.telegram.org/bot<token>/... 时）。
10      OpenClaw 此前在记录这些字符串时未进行脱敏，可能导致机器人令牌泄露到日志、崩溃报告、CI 输出或支持包中。
11  
12  
13      影响
14  
15  
16      Telegram 机器人令牌的泄露允许攻击者冒充该机器人并接管 Bot API 访问权限。
17  
18  
19      受影响的包/版本
20  
21  
22      - 包：openclaw（npm）
23  
24      - 受影响：<= 2026.2.14
25  
26      - 已修复：>= 2026.2.15（下一版本）
27  
28  
29      缓解措施
30  
31  
32      - 发布后升级至 openclaw >= 2026.2.15。
33  
34      - 如果令牌可能已泄露，请轮换 Telegram 机器人令牌。
35    cvss: ''
36    severity: MEDIUM
37    security_advise: 升级 openclaw 至 >= 2026.2.15 或更高版本。提交记录 - cf69907015b659e5025efb735ee31bd05c4ee3d5。如果令牌可能已泄露，请轮换
38      Telegram 机器人令牌。
39    references:
40    - https://github.com/openclaw/openclaw/security/advisories/GHSA-chf7-jq6g-qrwv
41  rule: version <= "2026.2.14"
42  references:
43  - https://github.com/openclaw/openclaw/security/advisories/GHSA-chf7-jq6g-qrwv