慢霧：注意排查axios惡意版本1.14.1 / 0.30.4及OpenClaw npm全域安裝歷史暴露風險

Odaily訊 截至 2026 年 3 月 31 日，公開情報顯示 axios@1.14.1 與 axios@0.30.4 已被確認為惡意版本。兩者均被植入額外依賴 plain-crypto-js@4.2.1，該依賴可透過 postinstall 腳本投遞跨平台惡意載荷。

該事件對 OpenClaw 的影響需分場景判斷：

1）源碼構建場景：不受影響

v2026.3.28 鎖檔案實際鎖定的是 axios@1.13.5 / 1.13.6，未命中惡意版本。

2）npm install -g openclaw@2026.3.28 場景：存在歷史暴露風險

原因是依賴鏈中存在：openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。在惡意版本仍在線的時間窗口內，可能被解析到 axios@1.14.1。

3）當前重新安裝結果：npm 已回退解析到 axios@1.14.0

但在攻擊窗口內安裝過的環境，仍建議按受影響場景處理，並排查 IoC。

此外慢霧提示，若發現 plain-crypto-js 目錄存在，即使其中 package.json 已被清理，也應視為高風險執行痕跡。對攻擊窗口內執行過 npm install 或 npm install -g openclaw@2026.3.28 的主機，建議立即輪換憑證並開展主機側排查。