慢雾：注意排查axios恶意版本1.14.1 / 0.30.4及OpenClaw npm全局安装历史暴露风险

来源：Odaily 快讯 原文链接：https://www.odaily.news/zh-CN/newsflash/474634 匹配关键词：Crypto Odaily星球日报讯 截至 2026 年 3 月 31 日，公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1，该依赖可通过 postinstall 脚本投递跨平台恶意载荷。

该事件对 OpenClaw 的影响需分场景判断：

1）源码构建场景：不受影响

v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6，未命中恶意版本。

2）npm install -g openclaw@2026.3.28 场景：存在历史暴露风险

原因是依赖链中存在：openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。在恶意版本仍在线的时间窗口内，可能被解析到 axios@1.14.1。

3）当前重新安装结果：npm 已回退解析到 axios@1.14.0

但在攻击窗口内安装过的环境，仍建议按受影响场景处理，并排查 IoC。

此外慢雾提示，若发现 plain-crypto-js 目录存在，即使其中 package.json 已被清理，也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机，建议立即轮换凭据并开展主机侧排查。