أخبار بوابة الأخبار، 31 مارس، وفريق أمان SlowMist يصدر تنبيهًا، حتى 31 مارس 2026، تُظهر المعلومات العلنية أن axios@1.14.1 وaxios@0.30.4 قد تم تأكيدهما كإصدارات ضارة. تم إدخال كليهما عبر تبعية إضافية plain-crypto-js@4.2.1، ويمكن لهذه التبعية عبر نص postinstall نشر حمولة خبيثة عبر الأنظمة الأساسية.
تتطلب تداعيات هذه الحادثة على OpenClaw الحكم حسب السيناريوهات: 1) سيناريو البناء من المصدر لا يتأثر، إذ إن ملف القفل v2026.3.28 الذي تم فعليًا قفله هو axios@1.13.5 / 1.13.6، ولم يتم الوصول إلى الإصدارات الضارة؛ 2) سيناريو npm install -g openclaw@2026.3.28 يوجد به مخاطر تعرّض تاريخية، والسبب هو أن سلسلة التبعيات تتضمن openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4، وخلال نافذة استمرار الإصدارات الضارة على الخط، قد يتم تحليلها إلى axios@1.14.1؛ 3) تُظهر نتيجة التثبيت من جديد الحالية أن npm قد عاد بالتحليل إلى axios@1.14.0، لكن في البيئات التي تم فيها التثبيت ضمن نافذة الهجوم، لا يزال يُنصح بالتعامل مع السيناريوهات المتأثرة وإجراء فحص IoC.
ينبّه SlowMist إلى أنه إذا تم العثور على دليل plain-crypto-js، فيجب اعتباره أثر تنفيذ عالي المخاطر حتى لو كان قد تم تنظيف ملف package.json داخله. بالنسبة إلى المضيفات التي نفّذت npm install أو npm install -g openclaw@2026.3.28 خلال نافذة الهجوم، يُنصح فورًا بتدوير بيانات الاعتماد وإجراء فحص من جانب المضيف.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
