技術的な説明
Cline Kanban サーバーバージョン 0.1.59 は、ポート 3484 上の 3 つの認証なし WebSocket エンドポイント (ランタイム状態、ターミナル I/O、セッション制御) をオリジン検証なしで公開します。開発者が訪問するあらゆるウェブサイトが無言で接続し、ワークスペースデータ (ファイルシステムパス、git 履歴、AI チャットメッセージ) を流出させたり、エージェントのターミナルにコマンドを注入したり、アクティブなセッションを終了させたりできます。ブラウザーは localhost への WebSocket 接続にオリジン間制限を強制しません。
攻撃経路
攻撃者が悪意のあるウェブページをホストします。Cline が実行されている開発者がそのページを訪問すると、JavaScript が ws://127.0.0.1:3484 WebSocket エンドポイントに接続します。ランタイムエンドポイントは完全な環境スナップショットを返します。ターミナルエンドポイントは、疑似ターミナルバッファーに直接書き込まれた生の入力を受け入れます。Cline のデフォルト 'bypass permissions' フラグが有効な場合、注入されたコマンドは認可なしで実行されます。攻撃には、フィッシング、マルウェア、またはソーシャルエンジニアリングは不要で、ウェブページの訪問だけで済みます。
影響を受けるシステム
Cline (広く採用されているオープンソース AI コーディングアシスタント) で Kanban 機能が有効な場合、npm パッケージのバージョン 0.1.59。この問題は 2026 年 5 月 7 日に Oasis Security によって開示され、CVSS スコアは 9.7 です。
緩和策
Cline をバージョン 0.1.66 に直ちに更新してください。Cline 設定で 'bypass permissions' フラグを無効にして、シェルコマンドとファイルシステム変更のアクション ごとの認可を要求してください。他の AI コーディングツールで同様の localhost-as-trust-boundary エラーを監査してください。Oasis Security は、これが先ほどの OpenClaw 研究と同じパターンに従っていると指摘しており、この欠陥が AI エージェントプラットフォーム全体にわたってシステミックなものであることを示唆しています。