مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME، رسالة بتاريخ 31 مارس (UTC+8)، اعتبارًا من 31 مارس 2026، تُظهر المعلومات العلنية أن axios@1.14.1 وaxios@0.30.4 قد تم تأكيدهما كإصدارات خبيثة. تم إدخال كلٍ منهما مع تبعيات إضافية plain-crypto-js@4.2.1، ويمكن لهذه التبعية نشر حمولة خبيثة عبر منصات مختلفة عبر نص postinstall. يجب تقييم تأثير هذه الحادثة على OpenClaw حسب سيناريوهات متعددة: 1）سيناريو بناء الشيفرة: لا يتأثر، ملف القفل v2026.3.28 يحدد فعليًا axios@1.13.5 / 1.13.6، ولم يتم رصده على الإصدارات الخبيثة. 2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرض تاريخية السبب هو أن سلسلة التبعيات تتضمن: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة الزمن التي ما زالت فيها الإصدارات الخبيثة متاحة على الإنترنت، قد يتم تحليلها إلى axios@1.14.1. 3）نتيجة إعادة التثبيت الحالية: لقد تراجعت npm إلى التحليل إلى axios@1.14.0، لكن في البيئات التي تم تثبيتها داخل نافذة الهجوم، يُنصح مع ذلك بالتعامل وفق السيناريوهات المتأثرة، والتحقق من IoC. بالإضافة إلى تنبيه شركة SlowMist: إذا تم العثور على دليل plain-crypto-js، فيجب التعامل معه كأثر تنفيذ عالي الخطورة حتى لو كانت package.json داخله قد تم تنظيفها. بالنسبة إلى المضيفات التي نفذت npm install أو npm install -g openclaw@2026.3.28 داخل نافذة الهجوم، يُنصح فورًا بتدوير بيانات الاعتماد وإجراء فحص من جانب المضيف. (المصدر: ODAILY)