Cline CLI 2.3.0にサプライチェーン攻撃──開発者のPCにOpenClawが無断インストールされた事件の全容

雑記

2026年2月17日、AIコーディングアシスタント「Cline CLI」のnpmパッケージが不正に改ざんされ、約4,000人の開発者のマシンに自律型AIエージェント「OpenClaw」が無断でインストールされる事件が発生した。サプライチェーン攻撃の手口と影響、そして今後の対策について詳しく解説する。

この記事のポイント

  • Cline CLIのnpm公開トークンが侵害され、悪意あるバージョン2.3.0が約8時間にわたり配布された
  • postinstallスクリプトにより、OpenClawが自動的にグローバルインストールされる仕組みだった
  • 攻撃手法は「Clinejection」と呼ばれるプロンプトインジェクションを利用したトークン窃取だった

事件の経緯と発覚

2026年2月17日午前3時26分(太平洋時間)、何者かが侵害されたnpmの公開トークンを使用し、Cline CLIのバージョン2.3.0を公開した。この不正なバージョンは午前11時30分に検知・対処されるまでの約8時間にわたって配布され、その間に約4,000回ダウンロードされた。Cline CLIはオープンソースのAIコーディングアシスタントとして広く利用されており、影響範囲は決して小さくない。メンテナーチームは異常を検知した後、速やかにバージョン2.3.0を非推奨(deprecated)に設定し、侵害されたトークンを失効させた。

攻撃の技術的な手口

攻撃者はpackage.jsonファイルを改ざんし、postinstallスクリプトに "npm install -g openclaw@latest" というコマンドを追加した。これにより、開発者がCline CLI 2.3.0をインストールまたはアップデートすると、自動的にOpenClawがグローバルにインストールされる仕組みだった。OpenClawは近年急速に人気を集めているセルフホスト型の自律AIエージェントだが、ユーザーの同意なくインストールされた点が問題となる。

さらに注目すべきは、トークンの窃取に使われた手法だ。セキュリティ研究者Adnan Khan氏が発見した「Clinejection」と呼ばれるこの攻撃手法は、GitHubイシューに対するプロンプトインジェクションを利用するものだ。AI支援による過度に寛容なトリアージワークフローと、GitHub Actionsのキャッシュポイズニングを組み合わせることで、リポジトリの認証トークンを窃取することに成功した。AIツールがCI/CDパイプラインに深く統合される現代において、新たな攻撃ベクトルとなりうる手法である。

影響の範囲と評価

8時間の攻撃ウィンドウ中にCLIパッケージをインストールしたすべてのユーザーが影響を受けた。ただし、セキュリティ研究者によると、OpenClaw自体は本質的にマルウェアではなく、自動的なデーモン起動も含まれていなかったため、全体的な影響度は「低」と評価されている。また、VS Code拡張機能およびJetBrainsプラグインは影響を受けなかった。とはいえ、ユーザーの同意なくソフトウェアがインストールされたこと自体が重大なセキュリティインシデントであり、より悪質なペイロードが仕込まれていた可能性を考えると、軽視すべきではない。

メンテナーの対応と再発防止策

Cline CLIのメンテナーチームは迅速に対応し、以下の措置を講じた。まず、修正版であるバージョン2.4.0をリリースし、侵害されたバージョン2.3.0をnpmで非推奨に設定した。侵害されたトークンは即座に失効させた。さらに重要な措置として、パッケージの公開メカニズムをGitHub ActionsによるOpenID Connect(OIDC)認証に移行し、従来のトークンベースの認証への依存を排除した。この「Trusted Publishing」と呼ばれる仕組みにより、静的なトークンが漏洩するリスクを根本的に解消している。

知っておくと便利なTips

  • npmパッケージをインストールする際は、npm audit コマンドでセキュリティ脆弱性をチェックする習慣をつけよう
  • package.jsonpostinstallスクリプトは --ignore-scripts フラグで無効化できる。信頼できないパッケージには有効な対策だ
  • npmの「Trusted Publishing」(OIDC認証)は、パッケージメンテナーであれば積極的に導入を検討すべき仕組みだ
  • 自分の環境にOpenClawが意図せずインストールされていないか確認するには which openclawnpm list -g openclaw で確認できる

まとめ

今回のCline CLI 2.3.0に対するサプライチェーン攻撃は、AIコーディングツールのエコシステムが新たな攻撃対象となっていることを改めて浮き彫りにした。幸い、今回のペイロードは直接的な悪意のあるマルウェアではなかったが、同じ手法でより危険なコードが配布される可能性は十分にある。Cline CLIユーザーは速やかにバージョン2.4.0にアップデートし、環境内に不要なOpenClawがインストールされていないか確認してほしい。そして、npmパッケージのメンテナーは従来のトークンベースの公開を廃止し、Trusted Publishingへの移行を検討すべきだ。AIツールがソフトウェア開発に不可欠となった今、そのサプライチェーンのセキュリティはこれまで以上に重要な課題となっている。

📎 元記事: https://thehackernews.com/2026/02/cline-cli-230-supply-chain-attack.html

コメント

タイトルとURLをコピーしました