ゲートニュースのメッセージ:3月31日、スローネブセキュリティチームはアラートを発表し、2026年3月31日までの公開情報によると、axios@1.14.1 と axios@0.30.4 はすでに悪意のあるバージョンとして確認されています。両者はともに追加依存関係 plain-crypto-js@4.2.1 を埋め込まれており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意のあるペイロードを配信できます。
この事件が OpenClaw に与える影響は、シナリオ別に判断する必要があります:1)ソースコードのビルドシナリオでは影響はありません。v2026.3.28 のロックファイルが実際に固定しているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しません;2)npm install -g openclaw@2026.3.28 のシナリオでは、過去の露出リスクがあります。理由は依存関係チェーンに openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4 が存在するためです。悪意のあるバージョンがオンラインであった時間窓の間に、axios@1.14.1 へ解決される可能性があります;3)現在の再インストール結果では、npm は axios@1.14.0 へ解析をロールバックしています。ただし、攻撃窓内にインストール済みの環境では、引き続き影響を受けたシナリオとして扱い、IoC を調査することを推奨します。
スローネブは、plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がすでに削除されていても、高リスクな実行痕跡として見なすべきだと注意喚起しています。攻撃窓内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに認証情報をローテーションし、ホスト側での調査を実施してください。
