OpenClaw: appendLocalMediaParentRoots 中的自白名单允许任意文件读取和凭据泄露

## 概述 `appendLocalMediaParentRoots` 中的媒体本地根目录自白名单允许模型启动的任意主机文件读取和凭据泄露 ## 当前维护者分类 - 状态：narrow - 规范化严重性：medium - 评估：v2026.3.28 仍然在 src/media/local-roots.ts 中自白名单媒体父目录，但仅在配置已经允许 tool-fs 根目录扩展之后，因此影响比默认的 CRITICAL 框架更窄。 ## 受影响的包/版本 - 包：`openclaw` (npm) - 最新发布的 npm 版本：`2026.3.31` - 漏洞版本范围：`<=2026.3.28` - 修复版本：`>= 2026.3.31` - 包含修复的第一个稳定标签：`v2026.3.31` ## 修复提交 - `1ca4261d7e055d0be141ed79ebb1365d0fbc7364` — 2026-03-30T17:15:03+01:00 OpenClaw 感谢 @tdjackey 的报告。