OpenClaw : L’auto-liste blanche dans appendLocalMediaParentRoots permet la lecture de fichiers arbitraires et l’exfiltration d’informations d’identification

## Résumé L’auto-liste blanche des racines locales de médias dans `appendLocalMediaParentRoots` permet la lecture de fichiers hôtes arbitraires initiée par le modèle et l’exfiltration d’informations d’identification ## Triage actuel du responsable - Statut : étroit - Gravité normalisée : medium - Évaluation : v2026.3.28 auto-liste toujours les répertoires parents de médias dans src/media/local-roots.ts, mais seulement après que la configuration autorise déjà l’expansion de la racine tool-fs, donc l’impact est plus étroit que le cadrage par défaut-CRITICAL. ## Packages/versions affectés - Package : `openclaw` (npm) - Dernière version npm publiée : `2026.3.31` - Plage de versions vulnérables : `<=2026.3.28` - Versions corrigées : `>= 2026.3.31` - Première balise stable contenant le correctif : `v2026.3.31` ## Commit(s) de correctif - `1ca4261d7e055d0be141ed79ebb1365d0fbc7364` — 2026-03-30T17:15:03+01:00 OpenClaw remercie @tdjackey pour le signalement.