尊龙凯时

养虾人垂危自查:全球驰名软件axios被投毒,,,,,,,你的“龙虾”安全吗?????? ?

功夫:2026-03-31 作者:尊龙凯时

分享到:

    3月31日,,,,,,,全球数百万开发者收到一条垂危安全提醒:宽泛使用的软件组件axios遭逢供给链投毒攻击。。。。 。。更值得关注的是,,,,,,,近期在技术圈火爆的AI智能体工具OpenClaw("龙虾")也在这次影响领域内。。。。 。。若是你在"养虾",,,,,,,这条新闻与你息息有关!

    axios是JavaScript生态中最盛行的网络要求工具之一,,,,,,,周下载量超过3亿次,,,,,,,险些所有使用Node.js的项目都在用它。。。。 。。

    攻击者劫持了axios主题守护者的账号,,,,,,,手动颁布了两个恶意版本:axios@1.14.1和axios@0.30.4。。。。 。。这些版本在代码仓库中没有对应纪录,,,,,,,是典型的"鬼魂颁布"。。。。 。。一旦开发者执行装置或更新,,,,,,,恶意代码就会自动运行,,,,,,,衔接攻击者节造的服务器下载远程接见木马,,,,,,,实现齐全节造。。。。 。。

养虾人垂危自查:全球驰名软件axios被投毒,,,,,,,你的“龙虾”安全吗???????

    1 攻击的荫蔽性极强

    恶意代码执行后会自动删除自身,,,,,,,并将配置文件代替为干净版本,,,,,,,开发者查抄时往往不会发现任何异常。。。。 。。攻击载荷针对苹果、Windows、Linux三大操作系统别离预构建,,,,,,,一旦触发,,,,,,,攻击者可持久埋伏。。。。 。。

    2 "养虾"用户风险更高

    OpenClaw是2025年底推出的开源自托管AI智能体工具,,,,,,,因职能壮大、可自主执行工作,,,,,,,被开发者称为"龙虾"。。。。 。。近期"养虾"成为技术圈热词,,,,,,,大量开发者在本地电脑、云服务器或容器环境中部署运杏祝。。。 。。

    由于OpenClaw通常占有齐全的系统、文件、浏览器和新闻平台接见权限,,,,,,,且持续在线,,,,,,,其多个组件明确使用axios处置网络要求和API挪用,,,,,,,邮件、日历、谈天纪录、API密钥等敏感数据全数露出在运行环境钟祝。。。 。。单一说,,,,,,,若是"龙虾"被投毒,,,,,,,攻击者不仅能节造你的电脑,,,,,,,还能以你的身份执行各类操作,,,,,,,后果不胜设想。。。。 。。

    严沉安全事务

    这次事务是2026年开源供给链安全领域最复杂的攻击事务之一。。。。 。。

    它露出了软件装置性质上蹬宗"执行肆意代码"的信赖模型缺点,,,,,,,以及主题守护者账号成为攻击焦点的单点故障风险。。。。 。。

    对于"养虾"用户而言,,,,,,,这次事务是一个警示:AI代理赋予的方便与风险并存。。。。 。。在享受自动化带来的效能提升时,,,,,,,必须同步构建纵深防御系统,,,,,,,确保"虾"不会造成"毒虾"。。。。 。。

    如确认已装置恶意版本,,,,,,,告如果系统已被入侵,,,,,,,立即执行应急响应流程。。。。 。。安全无幼事,,,,,,,及早响应可将损失降至最低。。。。 。。

    垂危自查与防护

    在项目中运行版本查抄号令,,,,,,,查看axios及有关依赖的版本号。。。。 。。若是显示特定恶意版本(1.14.1或0.30.4),,,,,,,请立即断开网络衔接,,,,,,,隔离受习染机械,,,,,,,轮换所有凭证,,,,,,,全盘杀毒扫描,,,,,,,并从干净备份复原或沉装系统。。。。 。。

    注:恶意版本已于3月31日03:15左右被npm官方下架,,,,,,,但已装置的项目仍需排查。。。。 。?????? ?⒄哂λㄒ览蛋姹,,,,,,,不使用自动更新,,,,,,,确保配置文件提交到版本节造,,,,,,,定期执行安全审计。。。。 。。企业用户建议使用私有代理,,,,,,,启用供给链安全工具,,,,,,,成立内部依赖白名单,,,,,,,并造订应急响应预案。。。。 。。

尊龙凯时 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

尊龙凯时 在线客服 尊龙凯时 95015

您对尊龙凯时的任何疑难可用以下方式通知我们

将您对尊龙凯时的任何疑难

用以下方式通知我们

【网站地图】【sitemap】