ME News のメッセージ、3 月 31 日(UTC+8)、2026 年 3 月 31 日までに公開された情報によると、axios@1.14.1 と axios@0.30.4 は悪意のあるバージョンとして確認されています。両者はいずれも追加の依存 plain-crypto-js@4.2.1 を埋め込まれており、この依存は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを配布できます。 この事象が OpenClaw に与える影響は、状況ごとに判断する必要があります。 1)ソースコードのビルドシーン:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しません。 2)npm install -g openclaw@2026.3.28 のシーン:過去の露出リスクが存在 原因は依存チェーン内に存在することです:openclaw -\> @line/bot-sdk@10.6.0 -\> optionalDependencies.axios@\^1.7.4。悪意のあるバージョンがオンラインのままであった時間ウィンドウ内では、axios@1.14.1 に解決される可能性があります。 3)現在の再インストール結果:npm は axios@1.14.0 への解決にロールバックしましたが、攻撃ウィンドウ内にインストールが行われた環境では、影響を受けるシーンとして扱い、IoC を確認することを引き続き推奨します。 さらに慢雾は、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーンアップされていても、高リスクの実行痕跡とみなすべきだと提示しています。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに認証情報をローテーションし、ホスト側での調査を開始することを推奨します。(出典:ODAILY)
慢雾:axiosの悪意のあるバージョン1.14.1 / 0.30.4やOpenClawのnpmグローバルインストール履歴に潜むリスクに注意してください
ME News のメッセージ、3 月 31 日(UTC+8)、2026 年 3 月 31 日までに公開された情報によると、axios@1.14.1 と axios@0.30.4 は悪意のあるバージョンとして確認されています。両者はいずれも追加の依存 plain-crypto-js@4.2.1 を埋め込まれており、この依存は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを配布できます。 この事象が OpenClaw に与える影響は、状況ごとに判断する必要があります。 1)ソースコードのビルドシーン:影響なし v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しません。 2)npm install -g openclaw@2026.3.28 のシーン:過去の露出リスクが存在 原因は依存チェーン内に存在することです:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがオンラインのままであった時間ウィンドウ内では、axios@1.14.1 に解決される可能性があります。 3)現在の再インストール結果:npm は axios@1.14.0 への解決にロールバックしましたが、攻撃ウィンドウ内にインストールが行われた環境では、影響を受けるシーンとして扱い、IoC を確認することを引き続き推奨します。 さらに慢雾は、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーンアップされていても、高リスクの実行痕跡とみなすべきだと提示しています。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに認証情報をローテーションし、ホスト側での調査を開始することを推奨します。(出典:ODAILY)