Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення, 31 березня (UTC+8), станом на 31 березня 2026 року, оприлюднені дані свідчать, що axios@1.14.1 та axios@0.30.4 уже підтверджено як шкідливі версії. Обидві версії були інфіковані додатковою залежністю plain-crypto-js@4.2.1, яку можна доставити як шкідливий кросплатформенний корисний тягар через postinstall-скрипт. Вплив цієї події на OpenClaw потрібно оцінювати залежно від сценарію: 1）Сценарій збірки з вихідного коду: не впливає; фактичний lock-файл у v2026.3.28 блокує axios@1.13.5 / 1.13.6, не зачіпаючи шкідливі версії. 2）Сценарій npm install -g openclaw@2026.3.28: існує історичний ризик оприлюднення. Причина в тому, що в ланцюжку залежностей присутні: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії ще були в мережі, можливе розв’язання на axios@1.14.1. 3）Результат поточного перевстановлення: npm відкотив розв’язання до axios@1.14.0, однак для середовищ, у якій у межах вікна атаки було виконано встановлення, все одно рекомендується діяти як для ураженого сценарію та перевірити IoC. Додатково SlowMist попереджає: якщо виявлено каталог plain-crypto-js, навіть якщо package.json у ньому вже очищено, це слід вважати високоризиковою ознакою виконання. Для хостів, на яких у межах вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані та провести перевірку з боку хоста.（Джерело: ODAILY）