慢雾：注意排查axios恶意版本1.14.1 / 0.30.4及OpenClaw npm全局安装历史暴露风险

嘴角含春

Odaily星球日报讯 截至 2026 年 3 月 31 日，公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1，该依赖可通过 postinstall 脚本投递跨平台恶意载荷。

该事件对 OpenClaw 的影响需分场景判断：

1）源码构建场景：不受影响

v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6，未命中恶意版本。

2）npm install -g openclaw@2026.3.28 场景：存在历史暴露风险

原因是依赖链中存在：openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。在恶意版本仍在线的时间窗口内，可能被解析到 axios@1.14.1。