大数跨境

Axios被投毒影响OpenClaw用户,知道创宇推木马检测Skill 已上架AiPy集市

Axios被投毒影响OpenClaw用户,知道创宇推木马检测Skill 已上架AiPy集市 爱派AiPy
2026-04-01
2
导读:近期,npm生态核心依赖Axios遭遇供应链木马投毒,风险波及热门AI框架OpenClaw。

近期,npm生态核心依赖Axios遭遇供应链木马投毒,风险波及热门AI框架OpenClaw。4月1日,知道创宇404实验室紧急推出开源检测技能(Skill),帮助开发者、小龙虾用户快速自查,现已上架AiPy Pro Skills集市。


Axios投毒事件回顾

在2026年3月31日,全球JavaScript生态最核心的HTTP依赖库Axios遭遇供应链投毒攻击。

此次投毒的恶意版本为1.14.1和0.30.4,作为年下载量超36亿次的基础组件,风险影响范围非常广泛。

恶意代码会自动下载并运行远控木马,同时影响Windows, Linux, macOS三大操作系统,无论你使用哪种开发环境都不能掉以轻心。


对OpenClaw"小龙虾"的影响

更值得关注的是,此次投毒风险已经传导至近期爆火的AI智能体框架OpenClaw(网友俗称"小龙虾")。

北京时间3月31日8:00-12:00期间,正常安装使用OpenClaw的用户,会因为上游依赖被污染而被动感染恶意代码。

由于OpenClaw本身拥有系统级操作权限,一旦被植入木马,可能带来更严重的数据安全风险,"养虾人"需要特别警惕。

注意,从AiPy Pro集市中安装的小龙虾不受影响。


知道创宇推出开源检测技能

面对突发安全事件,知道创宇快速响应,推出了Axios供应链投毒检测技能,并完全开源,供所有开发者免费使用。

项目已上传至GitHub,开源地址:

https://github.com/knownsec/security-skills

该技能能够精准识别被污染的Axios恶意版本,支持全盘快速扫描,帮助开发者第一时间发现风险,及时处置。

该检测技能基于 knowsec 多年的供应链安全研究经验,特征库准确更新,能够有效识别此次投毒事件中的恶意版本,误报率低,扫描速度快,适合个人开发者和企业团队快速自查。

AiPy Pro用户一键使用

目前,**Axios 供应链投毒检测**技能已经正式上架AiPy Pro技能集市,AiPy Pro用户可以直接安装使用。

使用方法非常简单,只需两步:

在AiPy Pro技能集市中搜索「Axios 供应链投毒检测」,点击安装

安装完成后,下发任务指令:对整个电脑进行axios病毒检查,并生成排查HTML报告保存在当前工作目录。即可自动开始扫描

几分钟后,即可完成对电脑全盘的扫描,并输出了报告:


供应链安全已经成为AI时代不可忽视的风险点,从基础依赖到上层AI框架,任何一个环节都可能成为攻击者的突破口。 知道创宇此次开源的检测技能,为开发者提供了便捷高效的自查工具,帮助大家快速排查风险,守住安全底线。 如果你近期安装过OpenClaw或者用到了Axios,不妨赶紧检测一下,确保你的开发环境安全无虞。 你遇到过供应链投毒问题吗?欢迎在评论区留言讨论,也别忘了点赞收藏分享给身边的开发者朋友!

AiPy Pro 官网:www.aipyaipy.com

想要交流、分享更多AiPy使用体验,欢迎扫码进群,与千万AiPy用户一起探索AI的无限可能!

【声明】内容源于网络
0
0
爱派AiPy
爱派(AiPy),用Python Use,给AI装上双手,开放源码、本地部署,除了帮你思考,更能帮你干活,成为您的超级人工智能助手!从此,你只要说出你的想法,爱派帮你分析本地数据,操作本地应用,给你最终结果!
内容 68
粉丝 0
爱派AiPy 爱派(AiPy),用Python Use,给AI装上双手,开放源码、本地部署,除了帮你思考,更能帮你干活,成为您的超级人工智能助手!从此,你只要说出你的想法,爱派帮你分析本地数据,操作本地应用,给你最终结果!
总阅读343
粉丝0
内容68