SlowMist-Benachrichtigung: Die bösartige Version von axios 1.14.1 / 0.30.4 birgt ein Sicherheitsrisiko. Bitte prüfen Sie dies und rotieren Sie die Anmeldeinformationen.

Gate News-Nachricht: 31. März. Das Sicherheitsteam von Mongoose hat eine Warnung veröffentlicht. Bis zum 31. März 2026 zeigen öffentlich verfügbare Informationen, dass axios@1.14.1 und axios@0.30.4 als bösartige Versionen bestätigt wurden. Beide wurden mit der zusätzlichen Abhängigkeit plain-crypto-js@4.2.1 kompromittiert; diese Abhängigkeit kann über das postinstall-Skript plattformübergreifende bösartige Nutzlasten ausliefern.

Die Auswirkungen dieses Vorfalls auf OpenClaw müssen nach Szenarien beurteilt werden: 1) Im Szenario der Quellcode-Erstellung ist keine Auswirkung zu erwarten. Die v2026.3.28-Lockdatei sperrt tatsächlich axios@1.13.5 / 1.13.6 und trifft daher nicht auf die bösartigen Versionen. 2) Im Szenario npm install -g openclaw@2026.3.28 besteht ein historisches Expositionsrisiko. Der Grund ist, dass in der Abhängigkeitskette openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4 vorhanden ist. Innerhalb des Zeitfensters, in dem die bösartigen Versionen noch online waren, kann es möglich sein, dass axios@1.14.1 aufgelöst wird. 3) Das aktuelle Ergebnis der Neuinstallation zeigt, dass npm auf axios@1.14.0 zurückgefallen ist. In Umgebungen, in denen jedoch innerhalb des Angriffsfensters installiert wurde, wird weiterhin empfohlen, nach den betroffenen Szenarien vorzugehen, und IoC zu prüfen.

Mongoose weist darauf hin: Wenn im plain-crypto-js-Verzeichnis etwas vorhanden ist, sollte dies auch dann als hochriskanter Ausführungsnachweis betrachtet werden, wenn dort package.json bereits bereinigt wurde. Für Hosts, die innerhalb des Angriffsfensters npm install oder npm install -g openclaw@2026.3.28 ausgeführt haben, wird empfohlen, die Anmeldeinformationen umgehend zu wechseln und eine hostseitige Untersuchung durchzuführen.