مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

خبر ME، 31 مارس (UTC+8)، وحتى 31 مارس 2026، تُظهر المعلومات المتاحة علنًا أن axios@1.14.1 و axios@0.30.4 قد تم تأكيدهما كنسخ خبيثة. تم أيضًا زرع كلٍّ منهما باعتماد إضافي plain-crypto-js@4.2.1، ويمكن لهذا الاعتماد نشر حمولة خبيثة عبر منصات مختلفة عبر سكربت postinstall.
يلزم الحكم على تأثير هذا الحادث على OpenClaw بحسب السيناريوهات التالية:
1）سيناريو بناء المصدر: لا يتأثر. ملف القفل v2026.3.28 يثبت فعليًا axios@1.13.5 / 1.13.6، ولم يُصَب بالنسخ الخبيثة.
2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرض تاريخية. السبب هو أن سلسلة التبعيات تتضمن: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة بقاء النسخ الخبيثة متاحة على الإنترنت، قد يتم حلها إلى axios@1.14.1.
3）نتيجة إعادة التثبيت الحالية: قام npm بالعودة إلى حل axios@1.14.0، ولكن في البيئات التي تم تثبيتها خلال نافذة الهجوم، يُنصح مع ذلك بمعالجة السيناريو المتأثر، والتحقق من IoC.
بالإضافة إلى ذلك، تشير شركة SlowMist إلى أنه إذا تم العثور على دليل plain-crypto-js، حتى إذا كان package.json بداخله قد تم تنظيفه، فيجب اعتباره أثر تنفيذ عالي الخطورة. بالنسبة للخوادم التي نفذت npm install أو npm install -g openclaw@2026.3.28 خلال نافذة الهجوم، يُنصح فورًا بتدوير الاعتمادات وإجراء فحص على مستوى الخادم. (المصدر: ODAILY)