OpenClaw: Gemini OAuth は、OAuth state パラメータを通じて PKCE 検証子を公開していました

## 概要 OpenClaw 2026.4.2 以前のバージョンでは、Gemini OAuth フローで PKCE 検証子を OAuth `state` 値として再利用していました。プロバイダが `state` をリダイレクト URL に反映していたため、検証子が認可コードとともに公開される可能性がありました。 ## 影響 リダイレクト URL を傍受できる攻撃者は、認可コードと PKCE 検証子の両方を学習でき、PKCE の傍受保護をそのフローで無効化し、トークンの償還を可能にする可能性があります。 ## 影響を受けるパッケージ / バージョン - パッケージ: `openclaw` (npm) - 影響を受けるバージョン: `<= 2026.4.1` - 修正されたバージョン: `>= 2026.4.2` - 最新の公開 npm バージョン: `2026.4.1` ## 修正コミット - `a26f4d0f3ef0757db6c6c40277cc06a5de76c52f` — OAuth state を PKCE 検証子から分離 OpenClaw は @BG0ECV の報告に感謝します。