مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME، في 31 مارس (UTC+8)، واعتبارًا من 31 مارس 2026، تُظهر المعلومات المتاحة علنًا أن axios@1.14.1 وaxios@0.30.4 قد تم تأكيد أنهما إصدارات ضارة. تم إدخال كليهما مع اعتماد إضافي plain-crypto-js@4.2.1، ويمكن لهذا الاعتماد نشر حمولة خبيثة عبر منصات متعددة من خلال نص postinstall. يجب تحديد تأثير هذه الحادثة على OpenClaw حسب سيناريوهات مختلفة: 1）سيناريو بناء المصدر: لا يتأثر؛ ملف القفل v2026.3.28 الذي تم تفعيله فعليًا يثبت axios@1.13.5 / 1.13.6، ولم يتم العثور على الإصدارات الضارة. 2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرّض تاريخية. السبب هو وجود ما يلي في سلسلة الاعتماد: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال فترة استمرار الإصدارات الضارة على الإنترنت، قد يتم تحليل axios@1.14.1. 3）نتيجة إعادة التثبيت الحالية: رجّع npm تحليل axios إلى axios@1.14.0، لكن في البيئات التي تم تثبيتها داخل نافذة الهجوم، يُنصح ما يزال بمعالجة السيناريو المتأثر وإجراء فحص IoC. بالإضافة إلى ذلك، يشير SlowMist إلى أنه إذا تم العثور على دليل plain-crypto-js، حتى إذا تمت إزالة package.json داخله، فيجب اعتباره أثر تنفيذ عالي الخطورة. بالنسبة للمضيفات التي نفذت npm install أو npm install -g openclaw@2026.3.28 داخل نافذة الهجوم، يُنصح فورًا بتدوير الاعتمادات وإجراء عمليات فحص من جانب المضيف.（المصدر：ODAILY）