先週、オープンソースのAI開発アシスタント「Cline CLI」のnpmパッケージが第三者に侵害され、開発者の知らない間に彼らのマシンに密かにOpenClawをインストールする奇妙なサプライチェーン攻撃が発生しました。
この事件は火曜日に発生しました。「権限のない当事者」が侵害されたトークンを使用して、Cline CLIのnpmレジストリに更新をパブリッシュし、ユーザーが[email protected]をインストールすると、ユーザーのコンピューターにOpenClawをインストールするようにしました。OpenClawはAIエージェントプラットフォームおよびセキュリティ上の悪夢です。
「2月17日の午前3:26~午前11:30 PST(太平洋時間)の約8時間の間にCline CLI [email protected]をインストールしたユーザーは、openclawがグローバルにインストールされることになります」とClineのメンテナーがセキュリティアドバイザリで述べました。「openclawパッケージは合法的なオープンソースプロジェクトであり、悪意のあるものではありませんが、そのインストールは認可されておらず、意図されていませんでした。」
メンテナーはまた、侵害されたトークンを無効にし、「npmパブリッシングは現在GitHubアクションを通じてOIDCプロビナンスを使用しています」と付け加えました。
この期間にClineをインストールした誰もが、修正されたバージョン(2.4.0以降)に更新し、環境内に予期しないOpenClawのインストールがないか確認する必要があります。
今月初め、セキュリティ研究者Adnan Khanは、この目的のために悪用される可能性のあるClineへのプロンプトインジェクション脆弱性(既に修正)を発見し開示しました。
「NPMパッケージの状況の中で明確にするために:私はClineのリポジトリで公然のテストを実施しませんでした」とKhanは彼の研究の更新で述べました。
「プロンプトインジェクション脆弱性を確認するために、Clineのミラーで自分のPoCを実施しました」と彼は付け加えました。「別のアクターが私のテストリポジトリで私のPoCを見つけ、それを使用してClineを直接攻撃し、公開認証情報を取得しました。」
Microsoftは2月17日の8時間のサプライチェーン事件の間に、「Cline CLIインストールスクリプトによって開始されたOpenClawのインストールの小さいながら顕著な増加」に注意しました。
一方、StepSecurityは、パッケージメンテナーが非推奨にする前に、侵害されたバージョンが約4,000回ダウンロードされたと報告しました。
ClineのnpmレジストリにOpenClawを忍ばせた責任者が誰なのか、そしてより混乱したAIエージェントを作成する以外の目的は何なのかは分かりません。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/20/openclaw_snuck_into_cline_package/
