Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Infosecurity Magazine · 7.5., 20:11 · sikkerhet

Cline Kanban-server: tre WebSocket-endepunkter på localhost gir fjernkjøring fra besøkt nettside (CVSS 9.7)

SYNOPSIS_GENERERT

Oasis Security publiserte 7. mai en CVSS 9.7-analyse av Cline Kanban (npm v0.1.59), der tre WebSocket-endepunkter på localhost-port 3484 mangler origin-sjekk og lar enhver besøkt nettside lese arbeidsmappa, sende kommandoer til pseudoterminalen og drepe agentens sesjoner.

Oasis Security publiserte 7. mai en analyse med CVSS-score 9.7 av Cline Kanban-serveren i npm-pakken v0.1.59. Tre WebSocket-endepunkter på localhost-port 3484 mangler både origin-validering og autentisering, slik at enhver nettside utvikleren besøker mens Cline kjører kan koble seg til dem fra JavaScript.

Fra runtime-endepunktet får angriperen et øyeblikksbilde av filsystemstier, oppgavedata, git-historikk og chat-meldinger med agenten. Terminal-endepunktet gir rå toveis tilgang til pseudoterminalen, og kommandoer skrives direkte inn i input-bufferet som om utvikleren hadde tastet dem selv. Det tredje endepunktet styrer aktive sesjoner.

«Dette krevde verken phishing, skadevare eller social engineering. Patching av Cline til v0.1.66 lukker akkurat dette hullet. Men den egentlige jobben er å revidere alle KI-verktøy som åpner en lokal lytter.» — Trey Ford, Chief Strategy and Trust Officer, Bugcrowd

Kjernemekanismen er en feilantakelse: at binding mot 127.0.0.1 alene utgjør en tillitsgrense. Browsere håndhever ikke same-origin-policy på localhost-WebSockets slik de gjør på vanlige HTTP-kall, så enhver fane som kjører fiendtlig JavaScript kan snakke direkte med serveren. Risikoen forsterkes av Clines standardinnstilling «bypass permissions», som lar agenten kjøre shell-kommandoer og endre filsystemet uten å spørre per handling.

Oasis varslet Cline-teamet før publisering, og de sier responsen kom raskt. Forskerne påpeker at samme mønster gikk igjen i deres tidligere OpenClaw-rapport, og konkluderer med at «localhost som tillitsgrense» er en systemfeil i økosystemet av KI-kodeagenter, ikke et engangstilfelle.

Hva bør du gjøre?

  1. Oppgrader nå: Bytt til Cline v0.1.66 eller nyere. Sjekk versjon med npm list cline eller i VS Code-extensionen.
  2. Slå av «bypass permissions» i Cline-innstillingene, selv etter patch. Per-handling-godkjenning hindrer at neste sårbarhet blir like alvorlig.
  3. Kartlegg lokale lyttere fra alle KI-verktøy du har installert. Kjør lsof -i -P -n | grep LISTEN på macOS/Linux og sjekk hvilke prosesser som binder porter på localhost.
  4. Deaktiver Kanban-funksjonen hvis du ikke bruker den aktivt, helt til du har verifisert oppdateringen.
Åpne eksternt kildedokument
sikkerhetagenterutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN