OpenClaw: appendLocalMediaParentRootsにおける自己ホワイトリスト登録により、任意のファイル読み取りと認証情報漏洩が可能

## 概要 `appendLocalMediaParentRoots`におけるメディアローカルルートの自己ホワイトリスト登録により、モデルが開始した任意のホストファイル読み取りと認証情報漏洩が可能になります。 ## 現在のメンテナートリアージ - ステータス: narrow - 正規化された深刻度: medium - 評価: v2026.3.28はsrc/media/local-roots.tsでメディアの親ディレクトリを自己ホワイトリスト登録しますが、設定でtool-fsルートの拡張がすでに許可されている場合に限られるため、影響はデフォルトのcriticalフレームワークよりも狭くなります。 ## 影響を受けるパッケージ/バージョン - パッケージ: `openclaw` (npm) - npmで公開されている最新バージョン: `2026.3.31` - 脆弱性のあるバージョン範囲: `<=2026.3.28` - パッチが適用されたバージョン: `>= 2026.3.31` - 修正を含む最初の安定版タグ: `v2026.3.31` ## 修正コミット - `1ca4261d7e055d0be141ed79ebb1365d0fbc7364` — 2026-03-30T17:15:03+01:00 OpenClawは、報告してくれた@tdjackeyに感謝します。