Penjelasan teknis
Server Cline Kanban versi 0.1.59 mengekspos tiga endpoint WebSocket tanpa autentikasi di port 3484 (runtime state, terminal I/O, session control) tanpa validasi origin. Situs web apa pun yang dikunjungi developer dapat terhubung secara diam-diam, mengeksfil data workspace (jalur filesystem, git history, pesan chat AI), menyuntikkan perintah ke terminal agent, atau menghentikan sesi aktif. Browser tidak memberlakukan pembatasan cross-origin pada koneksi WebSocket ke localhost.
Vektor serangan
Penyerang menyelenggarakan halaman web berbahaya. Ketika developer dengan Cline yang berjalan mengunjungi halaman, JavaScript terhubung ke endpoint WebSocket ws://127.0.0.1:3484. Endpoint runtime mengembalikan snapshot lingkungan lengkap. Endpoint terminal menerima input mentah yang ditulis langsung ke buffer pseudo-terminal. Dengan flag 'bypass permissions' default Cline yang diaktifkan, perintah yang disuntikkan dieksekusi tanpa otorisasi. Serangan tidak memerlukan phishing, malware, atau social engineering—hanya kunjungan halaman web.
Sistem yang terdampak
Cline (asisten coding AI open-source yang banyak diadopsi) dengan fitur Kanban diaktifkan, versi 0.1.59 dari paket npm. Masalah ini diungkapkan pada 7 Mei 2026 oleh Oasis Security dengan skor CVSS 9.7.
Mitigasi
Perbarui Cline ke versi 0.1.66 segera. Nonaktifkan flag 'bypass permissions' di pengaturan Cline untuk memerlukan otorisasi per-action bagi perintah shell dan modifikasi filesystem. Audit kesalahan serupa localhost-as-trust-boundary di alat coding AI lainnya. Oasis Security mencatat ini mengikuti pola yang sama dengan penelitian OpenClaw mereka sebelumnya, yang menunjukkan kerentanan ini bersifat sistemik di seluruh platform AI agent.