【摘要】该漏洞是由于在OpenClaw Gateway 的 WebSocket 连接处理路径中。当使用 `shared-token` 或密码认证的后端连接建立时,系统允许客户端自行声明授权范围(scopes),而未在服务端对这些声明进行有效性绑定或验证。 阅读全文