OpenClaw 3.28 có thể chứa phiên bản axios độc hại, cần kiểm tra

Yu Xian, nhà sáng lập SlowMist, cảnh báo người dùng OpenClaw bản mới nhất 3.28 có thể đã nhiễm phiên bản axios độc hại và cần kiểm tra ngay, trong bối cảnh axios bị tấn công chuỗi cung ứng trên npm.

Sự cố có nguy cơ lan rộng vì axios được dùng phổ biến trong hệ sinh thái JavaScript. Ngoài OpenClaw bị tác động trực tiếp, các công cụ hoặc “skills” liên quan phụ thuộc axios có thể bị nhiễm gián tiếp, buộc phải rà soát diện rộng.

Cảnh báo từ SlowMist về OpenClaw 3.28

Yu Xian cho biết người dùng đang chạy OpenClaw 3.28 cần kiểm tra ngay khả năng bị nhiễm mã độc thông qua axios.

Ông nhấn mạnh rủi ro không chỉ nằm ở ứng dụng OpenClaw. Những thành phần, tiện ích hoặc “skills” tích hợp có thể bị ảnh hưởng gián tiếp nếu chúng phụ thuộc axios trong chuỗi thư viện.

Do axios được sử dụng rộng rãi, Yu Xian kêu gọi điều tra toàn diện. Ông lưu ý đợt nhiễm này được phát hiện tương đối nhanh, nhưng mức độ phổ biến của axios khiến phạm vi tác động tiềm năng khó giới hạn nếu không rà soát kỹ.

Bối cảnh: axios 1.14.1 bị tấn công chuỗi cung ứng

Trước đó trong ngày, axios gói npm core phiên bản 1.14.1 được báo cáo đang chịu một cuộc tấn công chuỗi cung ứng đang hoạt động.

Diễn biến này làm tăng rủi ro đối với các dự án phần mềm và công cụ có phụ thuộc axios. Người dùng và đội ngũ vận hành cần kiểm tra phiên bản, phụ thuộc liên quan và dấu hiệu bị thay thế thư viện trong môi trường cài đặt.