기술 설명
Cline Kanban 서버 버전 0.1.59는 포트 3484에서 인증되지 않은 세 개의 WebSocket 엔드포인트(런타임 상태, 터미널 I/O, 세션 제어)를 노출하며 origin 검증이 없습니다. 개발자가 방문하는 모든 웹사이트는 조용히 연결하여 워크스페이스 데이터(파일시스템 경로, git 히스토리, AI 채팅 메시지)를 탈취하거나, 에이전트의 터미널에 명령을 주입하거나, 활성 세션을 종료할 수 있습니다. 브라우저는 localhost로의 WebSocket 연결에 대해 cross-origin 제한을 적용하지 않습니다.
공격 경로
공격자는 악성 웹페이지를 호스팅합니다. Cline이 실행 중인 개발자가 페이지를 방문하면 JavaScript는 ws://127.0.0.1:3484 WebSocket 엔드포인트에 연결합니다. 런타임 엔드포인트는 전체 환경 스냅샷을 반환합니다. 터미널 엔드포인트는 pseudo-terminal 버퍼에 직접 쓰인 raw input을 수락합니다. Cline의 기본 'bypass permissions' 플래그가 활성화되어 있으면 주입된 명령은 인증 없이 실행됩니다. 공격은 피싱, 악성코드, 또는 소셜 엔지니어링이 필요 없습니다—오직 웹페이지 방문만 필요합니다.
영향받는 시스템
Kanban 기능이 활성화된 Cline(널리 채택된 오픈소스 AI 코딩 어시스턴트)의 npm 패키지 버전 0.1.59. 이 문제는 2026년 5월 7일 Oasis Security에 의해 공개되었으며 CVSS 점수는 9.7입니다.
완화 방안
Cline을 즉시 버전 0.1.66으로 업데이트하세요. Cline 설정에서 'bypass permissions' 플래그를 비활성화하여 셸 명령 및 파일시스템 수정에 대해 작업별 인증을 요구하도록 하세요. 다른 AI 코딩 도구에서 유사한 localhost-as-trust-boundary 오류를 감시하세요. Oasis Security는 이것이 이전의 OpenClaw 연구와 동일한 패턴을 따르며, 이 결함이 AI agent 플랫폼 전체에 걸쳐 체계적임을 시사한다고 지적합니다.