Die Check-Software-Lieferkette: der Cline-Angriff, den Sie OpenClaw installiert haben, ohne Erlaubnis

In dieser Woche wurde eine weitere beunruhigende Episode in der Sicherheit der Software-Versorgungskette bestätigt: Das Cline CLI Programmierer-Hilfe-Tool, ein Open Source-Projekt, das künstliche Intelligenz-Fähigkeiten integriert, wurde im npm-Netzwerk in einer kompromittierten Version veröffentlicht, die eine Anleitung zur leisen Installation des OpenLaw-Autonomen Agenten beinhaltete. Das betreffende Paket war cline @ 2.3.0, und die nicht autorisierte Veröffentlichung wurde am 17. Februar 2026 unter Verwendung eines Veröffentlichungs-Tokens erstellt, das nach Angaben der Betreuer beeinträchtigt worden war. Das offizielle Kommuniqué ist im Sicherheitshinweis des Projekts in GitHub verfügbar: GHSA-9ppg-jx86-fqw7.

Das veröffentlichte Paket beinhaltete eine Änderung im Paket. json, die ein Post-Installations-Skript hinzugefügt, dessen Wirkung war zu laufen npm install -g openclaw @ neuste. Dies führte für einen Zeitraum von etwa acht Stunden zwischen 3: 26 und 11: 30 PT am 17. Februar jeden Entwickler, der diese Version installierte, erhielt die automatische OpenLaw-Installation in seiner Umgebung. Cline-Beamte behaupten, dass innerhalb des Pakets kein anderer schädlicher Code erkannt wurde, und dass die OpenClaw-Installation nicht entworfen oder genehmigt wurde; aber die Tatsache, dass ein autonomer Agent verteilt werden konnte, gibt Anlass zu Besorgnis.

Die Betreuer reagierten, indem sie die betroffene Version zurückziehen und schnell veröffentlichen cline @ 2.4.0, zusätzlich zum Deaktivieren des gebundenen Tokens und Markierung der 2.3.0 als Deprecada. Sie gaben auch Änderungen an ihrem Verlagsmechanismus bekannt, die OpenID Connect (OIDC) von GitHub Actions einbinden, um die Abhängigkeit von statischen Token zu reduzieren und diese Art von Risiko zu minimieren. Der technische Nachrichtenfluss dokumentiert die Reaktion und den Umfang: z.B. bemerkte Microsoft Threat Intelligence in seinem X-Account eine Zunahme der OpenClaw-Anlagen, die dem Vorfall entsprechen ( Veröffentlichung), und Sicherheitssignaturen haben geschätzt, dass die kompromittierte Version Tausende Male während des Belichtungsfensters heruntergeladen wurde, nach Daten, die von SchrittSicherheit.

Obwohl OpenClaw selbst nicht als Malware betrachtet wird und, nach der Analyse der Firma Endor Labs, die Veröffentlichung nicht Komponenten enthalten, die sofort gefährliche Dienste starten würde, ist dieses Ereignis eine Erinnerung daran, dass die unerwünschte Installation von privilegierten Software kann ein Gateway für ernstere Angriffe. Wie der Forscher Henrik Plate of Endor Labs erklärte, kann die unmittelbare technische Wirkung begrenzt werden, aber die Betriebsstunde ist klar: die Unterhaltsberechtigten müssen zuverlässige Verlagsmechanismen erzwingen und die Benutzer müssen die mit den Releases verbundenen Aufzeichnungen und Unterschriften überwachen. Die komplette Analyse von Endor Labs ist hier verfügbar: Endor Labs - Vorfallanalyse.

Die Forschung darüber, wie die Fähigkeit, die bösartige Version zu veröffentlichen, zeigt auf eine komplexere Kette der Ausbeutung mit IA-Agenten in Triage-Workflows von Problemen verwendet. Der Forscher Adnan Khan erkannte, dass das Cline-Repository einen Workflow hatte, der beim Öffnen eines Vorfalls einen Claude-Agenten mit Zugriff auf die Codebasis und zusätzliche Werkzeuge zur Erzeugung automatischer Antworten aufwies. Diese Automatisierung, entworfen, um die Last der Betreuer zu beleuchten, gewährte übermäßige Berechtigungen für den Agenten, und ein sorgfältig gebauter Ausgabetitel könnte die IA dazu veranlassen, willkürliche Befehle auszuführen: eine Technik, die Khan als "Clinediction" getauft hat. Seine technischen Erklärungen und Beweise werden auf seinem Blog veröffentlicht: Clinediction - Analyse von Adnan Khan. Die Kommission, die den potenziellen operativen Wandel eingeführt hat, findet sich auch im Projektarchiv: Dezember 2025 Verpflichtung.

Die von Khan beschriebene Angriffssequenz kombiniert eine schnelle Injektion gegen IA-Agenten mit einer Cache-Vergiftungstechnik in GitHub-Aktionen, um eine Ausführung in einem Publikations-Workflow mit hohen Berechtigungen zu erreichen. Der Angreifer bewirkt zunächst, dass das Triage-System böswilligen Code auszuführen, dann füllen Sie den Cache mit Daten, die den Ausstoß von legitimen Einträgen verursachen und "vergiftete" Einträge, die den Schlüsseln der Veröffentlichung Nachtjobs entsprechen. Wenn die Nachtpublikation Routine läuft und findet diese manipulierten Inputs, erholt es Artefakte und Anmeldeinformationen, die es denjenigen erlauben, die den Fluss steuern, Artefakte in npm mit Produktionstoken zu veröffentlichen. Khan hatte bereits über diese Art von Risiko in der vorherigen Analyse von GitHub Actions Cache-Vergiftung geschrieben: Die Monster in Ihrem Build Cache.

Externe Forscher haben bestätigt, dass die beschriebene operative Kette im Wesentlichen diejenige war, die in der Veröffentlichung von cline @ 2.3.0 mit dem Post-Installations-Skript führte. Ein technischer Bericht, der die Ergebnisse und Korrelationen zusammenfasst, ist auf dem MBG Security-Blog verfügbar, in dem beschrieben wird, wie ein aktiver npm Publikationstoken verwendet wurde, um das engagierte Paket zu unterzeichnen und hochzuladen: MBG Security - Einsatzuntersuchung. Darüber hinaus helfen Fallanalyse und Abdeckung durch spezialisierte Sicherheit, das Bild zu verstehen: Buchse.dev - Angriffsanalyse und eine allgemeinere Anmerkung zu Industriereaktionen in The Hacker News.

Über die unmittelbaren technischen Details hinaus stellt die Sicherheitsgemeinschaft einen praktischen Abschluss fest: die in Rohrleitungen und Automatisierungen eingebauten IA-Agenten sind keine neutralen Akteure; wenn sie umfangreiche Genehmigungen erhalten, handeln sie als privilegierte Komponenten des Systems. Chris Hughes, verantwortlich für die Sicherheitsstrategie in Zenity, hat diese Idee synthetisiert, indem betont wird, dass das, was zuvor abstrakt über die Sicherheit von Selbständigen diskutiert wurde, jetzt eine spürbare Betriebskosten hat und spezifische Governance- und Zugangskontrollen erfordert. Die Notiz mit seiner Aussage wird in der Deckung des Vorfalls von The Hacker News gesammelt.

Wenn Sie Cline verwenden oder Repositories mit ähnlichen Automatisierungen verwalten, sind die unmittelbaren Maßnahmen, die von Antwortteams und Forschern empfohlen werden, klar: aktualisieren Sie auf die korrigierte Version, überprüfen Sie die Umgebung durch unerwartete OpenClaw-Anlagen und entfernen Sie jede nicht benötigte Komponente, drehen Sie Token und Anmeldeinformationen, die möglicherweise ausgesetzt wurden, und straffen Workflows, so dass IA-Agenten keine Erlaubnis erhalten, Code mit Publikations auszuführen. Es ist auch angebracht, OIDC für die Veröffentlichung von GitHub-Aktionen zu übernehmen und die Veröffentlichung von traditionellen Token soweit möglich zu deaktivieren, sowie die Attestations- und Unterschriftskontrollen von Lieferpipelines hinzuzufügen.

Dieser Vorfall zeigt, dass die Annahme von IA in Entwicklung und Betrieb Vorteile bringt, aber auch neue Angriffsvektoren einführt. Die Sicherheit der Lieferkette ist nicht mehr nur die Verantwortung von Pakethaltern: es umfasst Teams von unten, Entwickler und die Plattformen selbst, die Automatisierungen Orchester. Das Vertrauen in die Pakete, die wir installieren, erfordert jetzt mehr denn je feine Kontrollen darüber, wer oder was Sie veröffentlichen können, Rückverfolgbarkeit von Publikationen und regelmäßige Audits von automatisierten Strömen.