Атака на программную цепочку поставок затронула ИИ-ассистента для написания кода Cline CLI. Неизвестный злоумышленник опубликовал в реестре NPM скомпрометированную версию инструмента под номером 2.3.0, которая скрытно устанавливала на компьютеры разработчиков сторонний автономный ИИ-агент OpenClaw. Этот инцидент перевел концептуальные риски безопасности искусственного интеллекта в плоскость реальных операционных угроз.
Фундамент для атаки был заложен 21 декабря 2025 года, когда через коммит в исходный код репозитория Cline на GitHub была внесена корневая уязвимость. Ошибка конфигурации предоставила ИИ-модели Claude, используемой для автоматической сортировки проблем (issue triage), избыточные права, позволяющие выполнять произвольный код в ветке по умолчанию. Уязвимость, получившая название Clinejection, является развитием более раннего эксплойта PromptPwnd и использует внедрение промпта (prompt injection) непосредственно в заголовок проблемы (issue title) на платформе GitHub.
Для реализации кражи учетных данных атакующий заставил Claude заполнить кэш GitHub мусорными данными объемом более 10 ГБ. Это целенаправленное действие спровоцировало срабатывание политики вытеснения кэша GitHub — LRU (Least Recently Used). После этого злоумышленник подменил записи кэша таким образом, чтобы они совпадали с ключами кэша рабочего процесса ночных релизов.
Механизм доступа ИИ к репозиторию подробно описал исследователь безопасности Аднан Хан, обнаруживший вектор внедрения промпта и кражи токенов: «Когда открывается новая проблема, рабочий процесс запускает Claude с доступом к репозиторию и широким набором инструментов для анализа и ответа на проблему... Это позволило бы злоумышленнику добиться выполнения кода в ночном рабочем процессе и украсть секреты публикации».
Критическая фаза кражи произошла во время регулярного автоматического ночного запуска рабочих процессов (Publish Nightly Release / Publish NPM Nightly), который происходит около 2:00 ночи по времени UTC. Сработавший отравленный кэш платформы GitHub Actions позволил атакующему выполнить свой код. В результате были похищены активные токены публикации для реестра NPM — NPM_RELEASE_TOKEN или NPM_TOKEN.
Используя украденный токен, злоумышленник авторизовался в реестре Node.js и 17 февраля 2026 года в 3:26 утра по тихоокеанскому времени (PT) опубликовал пакет Cline CLI версии 2.3.0. В файл
Окно уязвимости оставалось открытым в течение примерно восьми часов и закрылось 17 февраля 2026 года в 11:30 утра по времени PT. По данным компании StepSecurity, за это время скомпрометированная версия была скачана около 4000 раз. Важно отметить, что атака затронула исключительно пакет Cline CLI в реестре NPM, в то время как расширения Cline для интегрированных сред разработки Visual Studio Code (VS Code) и плагин для JetBrains остались нетронутыми.
Нетипичный всплеск установок OpenClaw был первоначально зафиксирован командой Microsoft Threat Intelligence. Несмотря на масштаб скачиваний, общий уровень угрозы оценивается как низкий. Сам по себе ИИ-агент OpenClaw не является вредоносным программным обеспечением, а в процессе его скрытой установки не происходил запуск демона Gateway.
Исследователь компании Endor Labs Хенрик Плате дал следующую оценку инциденту: «Общее влияние оценивается как низкое, несмотря на большое количество загрузок... Тем не менее, это событие подчеркивает необходимость того, чтобы мейнтейнеры пакетов не только включали доверенную публикацию, но и отключали публикацию через традиционные токены...». В рамках устранения последствий разработчики Cline официально отозвали скомпрометированный токен, признали версию 2.3.0 устаревшей и выпустили безопасную версию 2.4.0. Механизм публикации NPM был обновлен для поддержки протокола OpenID Connect (OIDC) через GitHub Actions. Пользователям рекомендуется обновиться и проверить свои среды на наличие нежелательной установки OpenClaw для ее последующего удаления.
Значение этого инцидента для индустрии резюмировал Крис Хьюз, вице-президент по стратегии безопасности компании Zenity, в заявлении для издания The Hacker News: «Мы слишком долго говорили о безопасности цепочек поставок ИИ в теоретических терминах, и на этой неделе это стало операционной реальностью. Когда один заголовок проблемы может повлиять на автоматизированный конвейер сборки и затронуть опубликованный релиз, риск больше не является теоретическим. Индустрия должна начать признавать ИИ-агентов привилегированными субъектами, требующими управления».
Изображение носит иллюстративный характер
Фундамент для атаки был заложен 21 декабря 2025 года, когда через коммит в исходный код репозитория Cline на GitHub была внесена корневая уязвимость. Ошибка конфигурации предоставила ИИ-модели Claude, используемой для автоматической сортировки проблем (issue triage), избыточные права, позволяющие выполнять произвольный код в ветке по умолчанию. Уязвимость, получившая название Clinejection, является развитием более раннего эксплойта PromptPwnd и использует внедрение промпта (prompt injection) непосредственно в заголовок проблемы (issue title) на платформе GitHub.
Для реализации кражи учетных данных атакующий заставил Claude заполнить кэш GitHub мусорными данными объемом более 10 ГБ. Это целенаправленное действие спровоцировало срабатывание политики вытеснения кэша GitHub — LRU (Least Recently Used). После этого злоумышленник подменил записи кэша таким образом, чтобы они совпадали с ключами кэша рабочего процесса ночных релизов.
Механизм доступа ИИ к репозиторию подробно описал исследователь безопасности Аднан Хан, обнаруживший вектор внедрения промпта и кражи токенов: «Когда открывается новая проблема, рабочий процесс запускает Claude с доступом к репозиторию и широким набором инструментов для анализа и ответа на проблему... Это позволило бы злоумышленнику добиться выполнения кода в ночном рабочем процессе и украсть секреты публикации».
Критическая фаза кражи произошла во время регулярного автоматического ночного запуска рабочих процессов (Publish Nightly Release / Publish NPM Nightly), который происходит около 2:00 ночи по времени UTC. Сработавший отравленный кэш платформы GitHub Actions позволил атакующему выполнить свой код. В результате были похищены активные токены публикации для реестра NPM — NPM_RELEASE_TOKEN или NPM_TOKEN.
Используя украденный токен, злоумышленник авторизовался в реестре Node.js и 17 февраля 2026 года в 3:26 утра по тихоокеанскому времени (PT) опубликовал пакет Cline CLI версии 2.3.0. В файл
package.json был интегрирован вредоносный скрипт: "postinstall": "npm install -g...». В результате любой разработчик, устанавливавший эту версию, без авторизации получал на свою машину селф-хост ИИ-агент OpenClaw. Окно уязвимости оставалось открытым в течение примерно восьми часов и закрылось 17 февраля 2026 года в 11:30 утра по времени PT. По данным компании StepSecurity, за это время скомпрометированная версия была скачана около 4000 раз. Важно отметить, что атака затронула исключительно пакет Cline CLI в реестре NPM, в то время как расширения Cline для интегрированных сред разработки Visual Studio Code (VS Code) и плагин для JetBrains остались нетронутыми.
Нетипичный всплеск установок OpenClaw был первоначально зафиксирован командой Microsoft Threat Intelligence. Несмотря на масштаб скачиваний, общий уровень угрозы оценивается как низкий. Сам по себе ИИ-агент OpenClaw не является вредоносным программным обеспечением, а в процессе его скрытой установки не происходил запуск демона Gateway.
Исследователь компании Endor Labs Хенрик Плате дал следующую оценку инциденту: «Общее влияние оценивается как низкое, несмотря на большое количество загрузок... Тем не менее, это событие подчеркивает необходимость того, чтобы мейнтейнеры пакетов не только включали доверенную публикацию, но и отключали публикацию через традиционные токены...». В рамках устранения последствий разработчики Cline официально отозвали скомпрометированный токен, признали версию 2.3.0 устаревшей и выпустили безопасную версию 2.4.0. Механизм публикации NPM был обновлен для поддержки протокола OpenID Connect (OIDC) через GitHub Actions. Пользователям рекомендуется обновиться и проверить свои среды на наличие нежелательной установки OpenClaw для ее последующего удаления.
Значение этого инцидента для индустрии резюмировал Крис Хьюз, вице-президент по стратегии безопасности компании Zenity, в заявлении для издания The Hacker News: «Мы слишком долго говорили о безопасности цепочек поставок ИИ в теоретических терминах, и на этой неделе это стало операционной реальностью. Когда один заголовок проблемы может повлиять на автоматизированный конвейер сборки и затронуть опубликованный релиз, риск больше не является теоретическим. Индустрия должна начать признавать ИИ-агентов привилегированными субъектами, требующими управления».
