ME News メッセージ、3月31日(UTC+8)、2026年3月31日までに公開情報により、axios@1.14.1 と axios@0.30.4 は悪意のあるバージョンであることが確認されています。両方とも追加依存関係 plain-crypto-js@4.2.1 が注入されており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信できます。 この事象が OpenClaw に与える影響は、シナリオごとに判断する必要があります:1)ソースコードの構築シナリオ:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンに該当しません。 2)npm install -g openclaw@2026.3.28 のシナリオ:過去の公開リスクがあります。 理由は依存関係の連鎖に以下が存在するためです:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがオンラインの時間ウィンドウ内では、axios@1.14.1 に解決される可能性があります。 3)現在の再インストール結果:npm は axios@1.14.0 への解決に後退(ロールバック)していますが、攻撃ウィンドウ内にインストールした環境では、依然として影響ありのシナリオとして扱い、IoC を調査することを推奨します。 さらに、SlowMist からの注意として、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーンアップされていても、高リスクの実行痕跡として扱うべきです。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストは、直ちに認証情報をローテーションし、ホスト側での調査を行うことを推奨します。(出典:ODAILY)
慢雾:axiosの悪意のあるバージョン1.14.1 / 0.30.4やOpenClawのnpmグローバルインストール履歴に潜むリスクに注意してください
ME News メッセージ、3月31日(UTC+8)、2026年3月31日までに公開情報により、axios@1.14.1 と axios@0.30.4 は悪意のあるバージョンであることが確認されています。両方とも追加依存関係 plain-crypto-js@4.2.1 が注入されており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信できます。 この事象が OpenClaw に与える影響は、シナリオごとに判断する必要があります:1)ソースコードの構築シナリオ:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンに該当しません。 2)npm install -g openclaw@2026.3.28 のシナリオ:過去の公開リスクがあります。 理由は依存関係の連鎖に以下が存在するためです:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがオンラインの時間ウィンドウ内では、axios@1.14.1 に解決される可能性があります。 3)現在の再インストール結果:npm は axios@1.14.0 への解決に後退(ロールバック)していますが、攻撃ウィンドウ内にインストールした環境では、依然として影響ありのシナリオとして扱い、IoC を調査することを推奨します。 さらに、SlowMist からの注意として、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーンアップされていても、高リスクの実行痕跡として扱うべきです。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストは、直ちに認証情報をローテーションし、ホスト側での調査を行うことを推奨します。(出典:ODAILY)