O CLI Cline Foi Comprometido: Entenda Como Ocorreu a Invasão
Aprofundamento CEVIU
Aprofundamento
O ataque ao Cline não foi um caso isolado de má configuração, mas um exemplo estrutural de como agentes de IA operando com permissões excessivas se tornaram alvos críticos na cadeia de suprimentos. A vulnerabilidade 'Clinejection' explorou um workflow do GitHub Actions que usava Claude via anthropic/claude-code-action@v1 com escopos de Bash, Read e Write, o suficiente para manipular o cache compartilhado entre triagem de issues e publicação noturna. Isso permitiu envenenar o cache com comandos que extraíram o token npm, sem tocar no código-fonte do CLI nem nas extensões para VS Code ou JetBrains. O pacote malicioso [email protected] alterou apenas o postinstall no package.json, evitando detecção por scanners tradicionais de binários.
A instalação silenciosa do OpenClaw revela outro problema: frameworks de IA autônomos com acesso irrestrito ao terminal e disco são, por design, vetores de execução privilegiada. Apesar de ser legítimo, o OpenClaw já tinha CVE-2026-25253 (CVSS 8.8), uma RCE de um clique que permite escalonamento para root. Mais de 40 mil instâncias expostas e 2.200 'skills' maliciosas no ClawHub mostram que ele virou alvo de exploração em larga escala, não por falha no Cline, mas pela sua própria superfície de ataque ampliada quando implantado sem consentimento explícito.
Por que isso importa
Desenvolvedores que usam CLIs com workflows automatizados de IA precisam rever permissões de escopo em GitHub Actions: Read e Write não devem coexistir com Bash em agentes que processam entradas não confiáveis. O incidente também mostra que a migração para OIDC com proveniência, adotada pelo Cline após o ataque, não é opcional, mas requisito mínimo para publicação de pacotes. Tokens estáticos de npm com longa duração são agora considerados anti-padrão por equipes de segurança de grandes empresas, como Microsoft e Google. Para quem mantém ferramentas de desenvolvimento, o alerta é claro: cada agente de IA integrado ao pipeline é um novo ponto de entrada, e deve ser tratado como tal, com sandboxing, auditoria de logs e rotação automática de credenciais.
Linha do tempo
Introdução da vulnerabilidade 'Clinejection' no workflow de triagem de issues com IA
Adnan Khan reporta a vulnerabilidade via GitHub Security Advisory
Divulgação pública da 'Clinejection' após semanas de silêncio da equipe do Cline
Publicação maliciosa [email protected] no npm usando token roubado via prompt injection
Análise detalhada do ataque e lições de governança de IA no ciclo de desenvolvimento
Perguntas frequentes
Como saber se minha máquina foi afetada pelo OpenClaw?
Execute npm list -g openclaw no terminal. Se retornar uma versão instalada, desinstale imediatamente com npm uninstall -g openclaw. Verifique também processos suspeitos chamados openclaw ou clawd com ps aux | grep -i claw. Caso tenha usado [email protected] entre 17 e 18 de fevereiro, atualize para 2.4.0 ou superior.
O OpenClaw é malware?
Não. É um projeto de código aberto legítimo, mas com permissões de sistema extremamente amplas. Sua instalação não autorizada é perigosa porque abre espaço para exploração de vulnerabilidades como a CVE-2026-25253 (RCE) e facilita a disseminação de 'skills' maliciosas, mais de 2.200 já foram identificadas no ClawHub.
Por que o bot de IA conseguiu roubar o token npm?
O workflow de triagem de issues usava Claude com permissões de Bash + Read + Write e compartilhava o cache do GitHub Actions com o workflow de publicação. Um atacante injetou comandos no título do issue, envenenando o cache com instruções que exfiltraram o token npm armazenado como segredo, tudo sem modificar o código-fonte do Cline.
O que mudou na forma como o Cline publica pacotes hoje?
A equipe migrou da autenticação com token estático para OIDC com proveniência via GitHub Actions. Isso elimina tokens de longa duração e garante que cada publicação seja vinculada a um fluxo de trabalho verificável, com tempo de vida limitado e escopo estritamente necessário, um padrão exigido agora por repositórios como npm e PyPI para pacotes de alta popularidade.
Fontes
- neciudan.devfonte original
- Categoria
- CEVIU Web Dev
- Publicado
- 11 de março de 2026
- Editoria
- CEVIU Web Dev
