مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME، 31 مارس (UTC+8)، اعتبارًا من 31 مارس 2026، تُظهر المعلومات العلنية أن axios@1.14.1 و axios@0.30.4 تم تأكيدهما كإصدارات خبيثة. تم تضمين كليهما مع تبعية إضافية plain-crypto-js@4.2.1، ويمكن لهذه التبعية نشر حمولة خبيثة عبر منصات مختلفة من خلال نص postinstall. يجب تحديد تأثير هذه الحادثة على OpenClaw حسب السيناريوهات: 1）سيناريو بناء المصدر: لا يتأثر ملف القفل v2026.3.28 فعليًا، إذ إنه يحدد axios@1.13.5 / 1.13.6، ولم يصب الإصدار الخبيث. 2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرض تاريخية. السبب هو وجود ضمن سلسلة التبعيات: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة بقاء الإصدارات الخبيثة متاحة على الإنترنت، قد يتم تحليلها إلى axios@1.14.1. 3）نتيجة إعادة التثبيت الحالية: قام npm بالرجوع في التحليل إلى axios@1.14.0، لكن في البيئات التي تم فيها تثبيت الإصدارات داخل نافذة الهجوم، يُنصح أيضًا بالتعامل وفقًا للسيناريو المتأثر، والتحقق من IoC. بالإضافة إلى ذلك، تنبيه من 慢雾: إذا وُجد دليل plain-crypto-js، حتى إذا تم تنظيف package.json بداخله، فيجب اعتباره أثر تنفيذ عالي الخطورة. بالنسبة للمضيفات التي نفذت npm install أو npm install -g openclaw@2026.3.28 داخل نافذة الهجوم، يُنصح فورًا بتبديل بيانات الاعتماد وإجراء فحص على جانب المضيف.（来源：ODAILY）