MEニュース、3月31日(UTC+8)。2026年3月31日までの公開情報によれば、axios@1.14.1とaxios@0.30.4はいずれも悪意のあるバージョンとして確認されています。両者には追加依存関係としてplain-crypto-js@4.2.1が埋め込まれており、この依存関係はpostinstallスクリプトを通じてクロスプラットフォームの悪意あるペイロードを投入できます。今回の事象がOpenClawに与える影響は、状況に応じて判断する必要があります。1)ソースビルドの状況:影響なし。v2026.3.28のロックファイルが実際にロックしているのはaxios@1.13.5 / 1.13.6であり、悪意のあるバージョンには該当しません。2)npm install -g openclaw@2026.3.28の状況:過去の露出リスクがあります。理由は依存関係のチェーンに次が存在するためです:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンが依然としてオンラインだった時間窓の間に、axios@1.14.1として解決される可能性があります。3)現在の再インストール結果:npmは解析をaxios@1.14.0へロールバックしていますが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響を受けた状況として取り扱い、IoCを確認することを推奨します。さらに慢雾は、plain-crypto-jsディレクトリが存在する場合、そこにあるpackage.jsonが既にクリーンアップされていても、高リスクの実行痕跡として扱うべきだと注意しています。攻撃ウィンドウ内にnpm installまたはnpm install -g openclaw@2026.3.28を実行したホストでは、速やかに認証情報をローテーションし、ホスト側での調査を実施することを推奨します。(出典:ODAILY)
慢雾:axiosの悪意のあるバージョン1.14.1 / 0.30.4やOpenClawのnpmグローバルインストール履歴に潜むリスクに注意してください
MEニュース、3月31日(UTC+8)。2026年3月31日までの公開情報によれば、axios@1.14.1とaxios@0.30.4はいずれも悪意のあるバージョンとして確認されています。両者には追加依存関係としてplain-crypto-js@4.2.1が埋め込まれており、この依存関係はpostinstallスクリプトを通じてクロスプラットフォームの悪意あるペイロードを投入できます。今回の事象がOpenClawに与える影響は、状況に応じて判断する必要があります。1)ソースビルドの状況:影響なし。v2026.3.28のロックファイルが実際にロックしているのはaxios@1.13.5 / 1.13.6であり、悪意のあるバージョンには該当しません。2)npm install -g openclaw@2026.3.28の状況:過去の露出リスクがあります。理由は依存関係のチェーンに次が存在するためです:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンが依然としてオンラインだった時間窓の間に、axios@1.14.1として解決される可能性があります。3)現在の再インストール結果:npmは解析をaxios@1.14.0へロールバックしていますが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響を受けた状況として取り扱い、IoCを確認することを推奨します。さらに慢雾は、plain-crypto-jsディレクトリが存在する場合、そこにあるpackage.jsonが既にクリーンアップされていても、高リスクの実行痕跡として扱うべきだと注意しています。攻撃ウィンドウ内にnpm installまたはnpm install -g openclaw@2026.3.28を実行したホストでは、速やかに認証情報をローテーションし、ホスト側での調査を実施することを推奨します。(出典:ODAILY)