Gate News 消息,3 月 31 日,慢霧安全團隊發布預警,截至 2026 年 3 月 31 日,公開情報顯示 axios@1.14.1 與 axios@0.30.4 已被確認為惡意版本。兩者均被植入額外依賴 plain-crypto-js@4.2.1,该依赖可透過 postinstall 腳本投遞跨平台惡意載荷。
該事件對 OpenClaw 的影響需分場景判斷:1)原始碼建置場景不受影響,v2026.3.28 鎖檔實際鎖定的是 axios@1.13.5 / 1.13.6,未命中惡意版本;2)npm install -g openclaw@2026.3.28 場景存在歷史暴露風險,原因是依賴鏈中存在 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4,在惡意版本仍在線的時間窗口內,可能被解析到 axios@1.14.1;3)目前重新安裝結果顯示,npm 已回退解析到 axios@1.14.0,但在攻擊窗口內安裝過的環境,仍建議按受影響場景處理並排查 IoC。
慢霧提示,若發現 plain-crypto-js 目錄存在,即使其中 package.json 已被清理,也應視為高風險執行痕跡。對攻擊窗口內執行過 npm install 或 npm install -g openclaw@2026.3.28 的主機,建議立即輪換憑據並開展主機側排查。
