ME ニュース メッセージ、3 月 31 日(UTC+8)、2026 年 3 月 31 日までに公開されている情報によると axios@1.14.1 と axios@0.30.4 はいずれも悪意のあるバージョンとして確認されています。両者とも追加依存関係 plain-crypto-js@4.2.1 が組み込まれており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを投下できます。この事象が OpenClaw に与える影響はシナリオごとに判断する必要があります。1)ソースコードのビルドシナリオ:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当していません。2)npm install -g openclaw@2026.3.28 のシナリオ:過去の公開リスクがあります。その理由は依存関係チェーンに以下が存在するためです。openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@\^1.7.4。悪意のあるバージョンがオンラインの時間枠内では、axios@1.14.1 に解決される可能性があります。3)現在の再インストール結果:npm は解析を axios@1.14.0 にリトラクト(ロールバック)していますが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響を受けるシナリオとして扱うことを推奨し、IoC を調査してください。さらに Slower Mist は、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json が削除されていても、高リスクの実行痕跡として見なすべきだと注意しています。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに資格情報をローテーションし、ホスト側での調査を実施してください。(出典:ODAILY)
慢雾:axiosの悪意のあるバージョン1.14.1 / 0.30.4やOpenClawのnpmグローバルインストール履歴に潜むリスクに注意してください
ME ニュース メッセージ、3 月 31 日(UTC+8)、2026 年 3 月 31 日までに公開されている情報によると axios@1.14.1 と axios@0.30.4 はいずれも悪意のあるバージョンとして確認されています。両者とも追加依存関係 plain-crypto-js@4.2.1 が組み込まれており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを投下できます。この事象が OpenClaw に与える影響はシナリオごとに判断する必要があります。1)ソースコードのビルドシナリオ:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当していません。2)npm install -g openclaw@2026.3.28 のシナリオ:過去の公開リスクがあります。その理由は依存関係チェーンに以下が存在するためです。openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがオンラインの時間枠内では、axios@1.14.1 に解決される可能性があります。3)現在の再インストール結果:npm は解析を axios@1.14.0 にリトラクト(ロールバック)していますが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響を受けるシナリオとして扱うことを推奨し、IoC を調査してください。さらに Slower Mist は、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json が削除されていても、高リスクの実行痕跡として見なすべきだと注意しています。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに資格情報をローテーションし、ホスト側での調査を実施してください。(出典:ODAILY)