慢霧創始人余弦緊急示警,OpenClaw 最新 3.28 版可能引入遭供應鏈投毒的 axios 套件,惡意程式碼內建遠端存取木馬(RAT);同日 360 披露 MEDIA 協議 Prompt 注入高危漏洞,全球逾 17 萬實例面臨安全風險。 〈OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDI慢霧創始人余弦緊急示警,OpenClaw 最新 3.28 版可能引入遭供應鏈投毒的 axios 套件,惡意程式碼內建遠端存取木馬(RAT);同日 360 披露 MEDIA 協議 Prompt 注入高危漏洞,全球逾 17 萬實例面臨安全風險。 〈OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDI
OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例
如需對本內容提供反饋或相關疑問,請通過郵箱 [email protected] 聯絡我們。
慢霧創始人余弦緊急示警,OpenClaw 最新 3.28 版可能引入遭供應鏈投毒的 axios 套件,惡意程式碼內建遠端存取木馬(RAT)可竊取裝置資料、建立持久化後門;同日,360 數位安全集團披露 OpenClaw 的 MEDIA 協議存在 Prompt 注入高危漏洞,已獲國家信息安全漏洞庫(CNNVD)確認,全球逾 17 萬個公開存取的實例面臨安全風險。 (前情提要:慢霧專欄:資金交給「龍蝦」 AI Agent 真的安全?聯合 Bitget 報告揭露五大風險) (背景補充:中國國家安全部警告「龍蝦養殖」:OpenClaw 埋四大安全地雷,你的裝置可能被接管) 小龍蝦又出事了。這次不是釣魚網站、不是仿冒官網,而是從底層依賴套件就被下毒——偏偏中毒的還是每週下載量破億次的 axios。3 月 31 日,區塊鏈安全機構慢霧(SlowMist)創始人余弦與中國資安巨頭 360 數位安全集團先後發出警告,揭露 OpenClaw 平台同時面臨 npm 供應鏈投毒與 MEDIA 協議高危漏洞的雙重安全危機。 慢霧示警:axios 遭供應鏈投毒,OpenClaw 3.28 首當其衝 余弦發布安全提醒指出,OpenClaw 最新的 3.28 版本可能引入了遭投毒的 axios 套件,並警告: 我們基本確定,如果用戶的 OpenClaw 為最新版本 3.28,有可能會引入帶毒的 axios,請注意排查。此外相關 Skills 也可能依賴 axios 導致間接被投毒。由於 axios 使用實在廣泛,有條件可進行全盤排查。 根據安全研究機構 Socket 的調查報告,axios 的 npm 帳號於 3 月 30 日遭到入侵——攻擊者疑似透過一組長期未撤銷的 npm token 取得帳號控制權,在 39 分鐘內接連發布了 [email protected] 與 [email protected] 兩個惡意版本,同時汙染 1.x 和 0.x 兩條發行分支,並植入名為 [email protected] 的惡意依賴。 該惡意套件的危險程度不容小覷:它包含一個多階段遠端存取木馬(RAT),能夠執行任意命令、竊取系統資料,並在受感染裝置上建立持久化後門。攻擊者還針對不同作業系統量身打造了專屬載荷——macOS 上偽裝為 Apple 系統守護程序植入快取目錄,Windows 上將 PowerShell 重新命名並透過 VBScript 執行,Linux 則下載 Python 腳本至暫存目錄運行。 Socket 的自動化掃描系統在惡意套件上線僅 6 分鐘後就發出了警報。然而,axios 每週下載量高達 1 億次,使用 caret 版本範圍(如 ^1.14.0)的專案可能已自動拉取到受汙染版本。受波及的下游套件還包括 @shadanai/openclaw 和 @qqbrowser/openclaw-qbot。 360 同日披露 MEDIA 協議高危漏洞,影響 50 餘國 禍不單行。360 數位安全集團同日公布,其自主研發的多智能體協同漏洞挖掘系統在 OpenClaw 平台中發現了一處高危漏洞——MEDIA 協議 Prompt 注入繞過工具權限洩露本地檔案。 該漏洞已獲國家信息安全漏洞庫(CNNVD)正式確認,影響範圍覆蓋全球 50 多個國家和地區,超過 17 萬個可公開存取的 OpenClaw 實例面臨安全風險。 據 360 介紹,這個漏洞的核心風險在於:MEDIA 協議運行於輸出後處理層,可完全繞過平台的工具策略控制。即便 Agent 已停用所有工具呼叫,攻擊者僅憑群聊基礎成員權限即可發起攻擊,直接竊取伺服器敏感資訊,極易引發後續的連鎖網路攻擊。 值得注意的是,自 2026 年初以來,CNNVD 已累計收錄 82 個 OpenClaw 相關漏洞,其中包括 12 個超危和 21 個高危——小龍蝦的安全問題早已不是個案,而是結構性的系統風險。 用戶應立即排查 對於仍在使用 OpenClaw 的用戶,建議立即採取以下措施: 首先,檢查 OpenClaw 版本——若為 3.28,應即刻檢視 node_modules 中的 axios 版本。若為 1.14.1 或 0.30.4 即為已知惡意版本,必須移除並降級至安全版本。辨別方式很簡單:正版 axios 僅有 follow-redirects、form-data 和 proxy-from-env 三個依賴,若出現 plain-crypto-js 即為投毒確認。 其次,由於 axios 使用極為廣泛,不僅 OpenClaw 本身,任何安裝了 Skills 或第三方擴充的環境都應進行全面排查。同時,應限制 OpenClaw 實例的網路存取權限,避免暴露於公開網路。 相關報導 月下載近億次 AI 套件 LiteLLM 爆供應鏈攻擊,加密錢包、SSH 金鑰全面淪陷 第一批 OpenClaw 受害者出現了!安裝小龍蝦前必須瞭解的 4 個安全底線 小龍蝦 OpenClaw 爆紅成「駭客提款機」!官網遭像素級複製洗劫 Web3 錢包〈OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
市場機遇
Prompt實時價格 (PROMPT)
$0.02895
$0.02895$0.02895
USD
Prompt (PROMPT) 實時價格圖表
免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 [email protected] 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。
您可能也會喜歡
不容錯過的 SOON KBW 周邊活動:Jesse Lingard 將於 9 月 25 日參加高績效日
BitcoinWorld 不容錯過的SOON KBW周邊活動:Jesse Lingard將於9月25日參加高性能日活動 您準備好迎接區塊鏈創新與體育明星的電力十足融合了嗎?準備參加SOON KBW周邊活動"高性能日",在這裡,高性能SVM捲軸SOON將匯集行業領袖、投資者,以及FC首爾足球明星Jesse Lingard!這場獨特的聚會承諾將成為2025年韓國區塊鏈週的亮點,提供無與倫比的見解和社交機會。 是什麼讓SOON KBW周邊活動如此特別? 加密世界正熱議SOON即將到來的"高性能日",定於9月25日上午15:00(UTC +8)。這不僅僅是另一場行業聚會;這是一場精心策劃的SOON KBW周邊活動,旨在展示尖端區塊鏈技術並促進強大的社區參與。 SOON以其高性能SVM捲軸而聞名,在去中心化應用的擴展解決方案前沿。但什麼是SVM捲軸呢?簡單來說,它是一種複雜的技術,幫助區塊鏈網絡更快、更高效地處理交易。它就像為數據建立一條快速通道,確保您的去中心化應用運行順暢,沒有擁堵。這種技術實力使SOON在不斷發展的Web3領域中成為重要參與者。 這次獨家聚會的參與者將包括各種有影響力的人物:
項目官員:SOON和其他創新區塊鏈項目背後的智慧。
投資者:尋找Web3下一個大機會的關鍵參與者。
影響者:在加密空間塑造公眾意見並推動採用的聲音。
議程充滿了引人入勝的環節,包括動態小組討論和充足的社交機會,確保每位參與者獲得寶貴的知識和聯繫。 為什麼Jesse Lingard會參加SOON KBW周邊活動? 隨著著名足球運動員Jesse Lingard的特別嘉賓亮相,SOON KBW周邊活動的興奮達到了新高度。目前效力於FC首爾的Lingard的參與,架起了傳統體育世界與快速擴張的Web3宇宙之間的橋樑。他的出現標誌著主流人物認識到區塊鏈技術潛力和重要性的增長趨勢。 在活動期間,Lingard將參與一場引人入勝的爐邊談話。這個環節提供了一個難得的機會,聽取他對創新、粉絲參與的看法,甚至可能是他對區塊鏈如何革新體育的想法。他獨特的觀點預計將吸引多元化的觀眾,包括對加密貨幣好奇的體育愛好者和渴望看到跨行業合作的區塊鏈原住民。 這種合作突顯了區塊鏈不再局限於技術圈子。它正吸引來自各個領域的關注,展示其廣泛的適用性和變革力量。Lingard在SOON KBW周邊活動的參與就是這種擴大影響力的證明。 吸引韓國社區:SOON的戰略舉措 SOON已明確表示,這個"高性能日"不僅僅是一個活動;它是其戰略計劃的關鍵部分,旨在深化其在韓國市場的根基。該國是技術採用和創新的溫床,使其成為區塊鏈發展的關鍵地區。SOON旨在通過這次SOON KBW周邊活動和相關活動加強其溝通並與當地社區建立穩固關係。 在主要活動之前,SOON正通過各種外展計劃積極與公眾互動:
地鐵廣告:在首爾最繁忙的交通系統之一接觸廣泛受眾。
免費咖啡車:提供歡迎姿態並與公眾直接互動。
KBW展位:在韓國區塊鏈週提供專用空間,讓參與者了解更多關於SOON及其技術的信息。
這些努力強調了SOON對可訪問性的承諾,以及培養強大、知情的本地用戶基礎。這不僅僅是關於技術;而是關於建立信任和社區。 結論:不要錯過這個高性能日! 即將到來的SOON KBW周邊活動"高性能日"正在成為任何對區塊鏈未來,特別是高性能SVM捲軸感興趣的人不容錯過的場合。有了像Jesse Lingard這樣的明星嘉賓,富有洞察力的討論,以及對韓國社區參與的明確關注,SOON有望產生重大影響。 這個活動代表了SOON擴大全球存在並加強其對創新和以用戶為中心發展承諾的關鍵一步。請務必在您的日曆上標記9月25日,準備迎接一天充滿突破性想法和令人興奮的聯繫。 關於SOON KBW周邊活動的常見問題
什麼是SOON?SOON是一個高性能SVM(Solana虛擬機)捲軸,旨在顯著提高區塊鏈交易和去中心化應用的速度和效率。
什麼是韓國區塊鏈週(KBW)?KBW是亞洲最著名的區塊鏈活動之一,匯集行業領袖、創新者和愛好者,討論區塊鏈領域的最新趨勢和發展。
為什麼Jesse Lingard參與SOON KBW周邊活動?Jesse Lingard,FC首爾的職業足球運動員,作為特別嘉賓加入,旨在架起傳統體育與Web3之間的橋樑,提供獨特見解並擴大活動的吸引力。
公眾如何在活動前與SOON互動?SOON正在運行地鐵廣告,提供來自咖啡車的免費咖啡,並在KBW設立展位,直接與韓國社區互動。
SOON的"高性能日"活動的主要目標是什麼?該活動旨在加強SOON在韓國市場的存在,促進與當地社區的溝通,並展示其高性能SVM捲軸的能力。
您覺得這篇文章有見地嗎?與您的網絡分享即將到來的SOON KBW周邊活動的興奮!讓您的朋友和同事了解這個獨特的機會,深入了解高性能區塊鏈技術,見證體育和Web3的融合。您的分享幫助我們傳播關於加密空間重要發展的信息。要了解更多關於最新的信息,請探索我們關於塑造加密市場機構採用的關鍵發展的文章。 這篇文章《不容錯過的SOON KBW周邊活動:Jesse Lingard將於9月25日參加高性能日活動》首次出現在BitcoinWorld上。
分享
Coinstats2025/09/22 11:20
散戶瘋買 Anthropic、OpenAI 未上市股基金 VCX,一度溢價逾 30 倍後暴跌 80%,香櫞放空批最惡劣剝削
一檔讓散戶「曲線持有」Anthropic、OpenAI 的封閉型基金,在上市後短短數週從 NAV(淨資產價值) […] 〈散戶瘋買 Anthropic、OpenAI 未上市股基金 VCX,一度溢價逾 30 倍後暴跌 80%,香櫞放空批最惡劣剝削〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新
分享
Blocktempo ZH2026/03/31 17:04
XRP 正在被悄悄吸籌嗎?數據顯示多頭可能正在佈局
根據 CryptoQuant 分析師 Darkfost 的觀點,XRP 可能正在展現山寨幣市場中較為明確的積累訊號之一,儘管整體市場表現疲弱,他指出了一個回升
分享
NewsBTC2026/03/31 17:00
