技术说明
Cline Kanban服务器版本0.1.59在端口3484上暴露了三个未经身份验证的WebSocket端点(运行时状态、终端I/O、会话控制),且没有来源验证。开发人员访问的任何网站都可以静默连接,窃取工作空间数据(文件系统路径、git历史记录、AI聊天消息),向代理的终端注入命令,或终止活动会话。浏览器不对连接到localhost的WebSocket连接强制执行跨源限制。
攻击途径
攻击者托管恶意网页。当运行Cline的开发人员访问该页面时,JavaScript连接到ws://127.0.0.1:3484 WebSocket端点。运行时端点返回完整的环境快照。终端端点接受直接写入伪终端缓冲区的原始输入。在启用Cline默认的"绕过权限"标志的情况下,注入的命令无需授权即可执行。攻击不需要钓鱼、恶意软件或社会工程——只需访问网页即可。
受影响系统
启用了Kanban功能的Cline(广泛采用的开源AI编程助手),npm包版本0.1.59。该问题由Oasis Security于2026年5月7日披露,CVSS评分为9.7。
缓解措施
立即将Cline更新到版本0.1.66。在Cline设置中禁用"绕过权限"标志,以要求对shell命令和文件系统修改进行逐项授权。审查其他AI编程工具中类似的将localhost作为信任边界的错误。Oasis Security指出这与他们之前的OpenClaw研究遵循相同模式,表明该漏洞在AI代理平台中是系统性的。