Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME, повідомлення: 31 березня (UTC+8), станом на 31 березня 2026 року, опублікована інформація показує, що axios@1.14.1 та axios@0.30.4 уже підтверджено як шкідливі версії. Обидві були доповнені додатковою залежністю plain-crypto-js@4.2.1; ця залежність може доставляти кросплатформенне шкідливе навантаження через postinstall-скрипт. Вплив цієї події на OpenClaw потрібно визначати за сценаріями: 1）Сценарій збирання з вихідного коду: не має впливу; фактичний lock-файл для v2026.3.28 блокує axios@1.13.5 / 1.13.6 і не зачіпає шкідливі версії. 2）Сценарій npm install -g openclaw@2026.3.28: є ризик історичної експозиції; причина в тому, що в ланцюжку залежностей присутні: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії все ще були онлайн, можливе розв’язання до axios@1.14.1. 3）Поточний результат повторної інсталяції: npm відкотив розв’язання до axios@1.14.0, але в середовищах, де в межах вікна атаки встановлення було виконано, все одно рекомендується діяти як у сценарії, що зазнав впливу, і перевірити IoC. Крім того, SlowMist попереджає: якщо виявлено каталог plain-crypto-js, навіть якщо в ньому package.json уже було очищено, це слід вважати ознакою високого ризику виконання. Для хостів, на яких виконували npm install або npm install -g openclaw@2026.3.28 у межах вікна атаки, рекомендується негайно змінити облікові дані та провести перевірку на стороні хоста.（来源：ODAILY）