#安全资讯 紧急安全提醒：OpenClaw AI 机器人项目也受 Axios 供应链攻击影响，建议部署机器人的用户立即进行排查。可以参考余弦老师编写的提示词，将提示词发给 OpenClaw，如果找到相关特征则代表环境已经被入侵，建议立即轮换各类密钥以及重装系统或环境。提示词：https://ourl.co/112418

前文蓝点网提到知名 HTTP 客户端库 Axios 遭到黑客攻击，黑客通过未知方式劫持开发者在 NPM 平台的账号，随后发布恶意版本用来安装远程访问木马。

黑客的操作方法是修改 Axios 库隐秘增加新的依赖库，新增的这个依赖库则是黑客创建的恶意组件，因此用户在执行 NPM 安装或更新操作时都可能被自动安装这个恶意库。

OpenClaw AI 机器人项目也同样使用 Axios 开源库，所以如果你在 3 月 31 日前后执行过安装或更新操作，则也可能被安装远程访问木马，建议用户立即进行排查。

可将下面的提示词发给你的机器人：(来自 @余弦)

Check for the malicious axios versions in your project:

npm list axios 2>/dev/null | grep -E "1.14.1|0.30.4"

grep -A1 '"axios"' package-lock.json | grep -E "1.14.1|0.30.4"

Check for plain-crypto-js in node_modules:

ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"

If setup.js already ran, package.jsoninside this directory will have been replaced with a clean stub. The presence of the directory is sufficient evidence the dropper executed.

Check for RAT artifacts on affected systems:

macOS：

ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED"

Linux：

ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"

"COMPROMISED"

# Windows (cmd.exe)

dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED

OpenClaw AI 机器人会按照上述提示词指令对系统进行检查，如果找到相关特征则代表系统可能已经被入侵，此时用户应当轮换所有安全密钥确保安全。

如果可以建议用户直接将受影响的环境重新部署，同时将所有密钥轮换，这样应该可以显著提升安全性。