Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення, 31 березня (UTC+8). Станом на 31 березня 2026 року, публічні дані свідчать, що axios@1.14.1 і axios@0.30.4 були підтверджені як шкідливі версії. Обидві були інфіковані додатковою залежністю plain-crypto-js@4.2.1; ця залежність може доставляти міжплатформені шкідливі корисні навантаження через скрипт postinstall. Вплив цієї події на OpenClaw потрібно оцінювати за сценаріями: 1) сценарій збірки з вихідного коду: не впливає; фактичний “lock” для v2026.3.28 визначає axios@1.13.5 / 1.13.6, не потрапляючи на шкідливі версії. 2) сценарій npm install -g openclaw@2026.3.28: наявний ризик історичного розкриття. Причина в тому, що в ланцюжку залежностей присутні: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії ще залишалися доступними онлайн, можливе розв’язання до axios@1.14.1. 3) поточний результат повторної інсталяції: npm відкотив розв’язання до axios@1.14.0, але для середовищ, де встановлення виконувалося в межах вікна атаки, усе одно рекомендується обробляти як уражений сценарій і перевірити IoC. Крім того, SlowMist попереджає: якщо виявлено директорію plain-crypto-js, навіть коли в ній package.json уже очищено, її слід розглядати як слід високоризикового виконання. Для хостів, на яких у межах вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно здійснити ротацію облікових даних і провести перевірку на стороні хоста. (Джерело: ODAILY)