Cline Kanbanサーバーの重大な脆弱性が開示されました。開発者が訪問するあらゆるウェブサイトが、ワークスペースデータをサイレントに流出させたり、AIエージェントのターミナルにコマンドを注入したり、アクティブなエージェントセッションを終了させたりできるものです。
CVSS スコア 9.7 を割り当てられたこの欠陥は、Oasis Security の研究者によるセキュリティ評価で特定され、5月7日に技術分析が公開されました。Kanban npm パッケージのバージョン 0.1.59 に影響を与え、ローカルサーバーに公開される3つの WebSocket エンドポイント上の オリジン検証と認証の欠落に起因しています。
Cline は最も広く採用されているオープンソースの AI コーディングアシスタントの1つであり、その Kanban 機能は、ローカル HTTP および WebSocket サーバー(ポート 3484)によってサポートされるウェブベースのプロジェクト管理インターフェースを提供しています。
3つの未認証エンドポイント、1つの攻撃チェーン
Kanbanサーバーは、ランタイム状態、ターミナル I/O、セッション制御を処理する3つの WebSocket エンドポイントを公開しています。
接続時に、ランタイムエンドポイントは開発者の環境の完全なスナップショットを送信します。これにはファイルシステムパス、タスクデータ、git 履歴、AI エージェントチャットメッセージが含まれます。ターミナルエンドポイントは、エージェントの疑似ターミナルへの生のフルダプレックスアクセスを提供し、メッセージは入力バッファに直接書き込まれます。
Oasis Security は、どのエンドポイントもアップグレード要求の Origin ヘッダーを検証したり、セッショントークンを要求したりしていないと述べました。暗黙の仮定は、127.0.0.1 へのバインディングがアクセスをローカルマシンに限定するというものでしたが、ブラウザーは標準 HTTP リクエストに対してそうするのとは異なり、localhost への WebSocket 接続に対するクロスオリジン制限を強制しません。
AIエージェントの WebSocket の欠陥について詳しく読む:ClawJacked バグが秘密裏の AI エージェントハイジャックを実現
バイパスアクセス許可がリスクを増大させる
エクスプロイトチェーンは、Cline が実行されている間に開発者が訪問するあらゆるウェブページ上の JavaScript から、パッシブなリコネッサンスからリモートコード実行まで進行します。悪意のあるページはランタイムエンドポイントに接続してワークスペースコンテキストを取得し、アクティブなタスク ID を識別してから、エージェントがユーザーによって入力されたかのように処理するターミナルエンドポイントにコマンドをプッシュできます。
リスクは Cline のデフォルト「バイパスアクセス許可」フラグによって増幅されます。これにより、AI エージェントはアクションごとの認可なしにシェルコマンドを実行したり、ファイルシステムを変更したりできます。Oasis は、アプリケーション設定でそれを無効にすることを推奨しました。
Bugcrowd のチーフストラテジー・トラストオフィサーである Trey Ford は、より広い問題が特定のパッケージをはるかに超えて広がっていると述べました。
「この脆弱性は、フィッシング、マルウェア、ソーシャルエンジニアリングを必要としませんでした」と彼は述べました。「Cline を v0.1.66 にパッチすることで、この特定の露出は閉じられます。ローカルリスナーを開くすべての AI ツールを監査することが、実行する必要がある実際の仕事です。」
Oasis Security は、公開前に Cline に調査結果を報告しました。
Oasis Security のソリューションアーキテクト、Sagi Layani は次のように述べました。「Cline チームは開示の直後に非常に迅速に対応し、プロセス全体を通じて素晴らしいパートナーでした。」
この問題は、Oasis が以前に OpenClaw の調査で文書化したのと同じパターンに従っており、localhost-as-trust-boundary エラーがAI コーディングエージェントプラットフォーム全体に体系的に存在することを示唆しています。
翻訳元: https://www.infosecurity-magazine.com/news/cline-kanban-websocket-hijack-ai/
