Slow Mist: axiosの悪意のあるバージョン1.14.1 / 0.30.4の確認と、OpenClaw npmグローバルインストール履歴の露出リスクに注意

Odailyの報道によると、2026年3月31日現在の公開情報では、axios@1.14.1とaxios@0.30.4が悪意のあるバージョンであることが確認されています。両方とも追加の依存関係plain-crypto-js@4.2.1が埋め込まれており、この依存関係はpostinstallスクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信することが可能です。

この事件がOpenClawに与える影響は、シナリオによって判断する必要があります：

1）ソースコードビルドシナリオ：影響を受けません

v2026.3.28のロックファイルは実際にはaxios@1.13.5 / 1.13.6をロックしており、悪意のあるバージョンには該当しません。

2）npm install -g openclaw@2026.3.28シナリオ：履歴露出リスクが存在します

その理由は、依存関係チェーンに以下が存在するためです：openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがまだオンラインであった時間枠内では、axios@1.14.1に解決される可能性がありました。

3）現在の再インストール結果：npmはaxios@1.14.0に解決を戻しました

しかし、攻撃の時間枠内にインストールされた環境については、依然として影響を受けるシナリオとして扱い、IoCの確認を行うことを推奨します。

さらにSlow Mistは、plain-crypto-jsディレクトリが存在する場合、たとえその中のpackage.jsonがクリアされていたとしても、高リスクの実行痕跡と見なすべきであると指摘しています。攻撃の時間枠内にnpm installまたはnpm install -g openclaw@2026.3.28を実行したホストについては、直ちに認証情報をローテーションし、ホスト側の調査を実施することを推奨します。