近期安全研究人员披露了一起名为“Clinejection”的攻击事件:攻击者仅通过一句隐藏在 GitHub Issue 标题中的自然语言指令,就成功让 AI 编程工具发布恶意软件,并最终在约 4000 名开发者的电脑上自动安装了另一个 AI Agent——OpenClaw。
据介绍,这起攻击针对开源 AI 编程工具 Cline 的自动化工作流程而策划。Cline 使用 AI 大模型(Claude)自动处理 GitHub Issue,例如分类问题或执行简单维护任务。攻击者发现,这一流程存在关键漏洞:大模型会把 Issue 标题当作任务指令执行。
攻击流程大致如下:
攻击者提交一个带有提示注入(prompt injection)的 GitHub Issue 标题
AI 问题处理机器人读取标题并误认为是合法任务
机器人执行指令,从攻击者指定仓库安装 npm 包
攻击者利用缓存投毒等方式影响 CI/CD 构建流程
在夜间发布流程中窃取 npm 发布凭证
利用凭证发布被篡改的 Cline 2.3.0 版本
新版本在安装时自动执行脚本,全局安装 AI Agent OpenClaw
在该恶意版本上线的约 8 小时窗口期内,约 4000 名开发者下载了该软件包。
由此可见,“Clinejection” 事件传递出一个明确的信号:当 AI 开始自动执行任务时,自然语言本身就可能成为攻击载体。
随着 AI Agent 逐渐接管开发流程,从代码生成到 CI/CD 自动化,软件供应链安全正在进入一个新的阶段 —— 攻击者不再需要破解系统,只需要说服 AI 执行错误的指令。
评论删除后,数据将无法恢复
攻击者通过“提示词注入”强制让 4000 台电脑安装 OpenClaw
近期安全研究人员披露了一起名为“Clinejection”的攻击事件:攻击者仅通过一句隐藏在 GitHub Issue 标题中的自然语言指令,就成功让 AI 编程工具发布恶意软件,并最终在约 4000 名开发者的电脑上自动安装了另一个 AI Agent——OpenClaw。
据介绍,这起攻击针对开源 AI 编程工具 Cline 的自动化工作流程而策划。Cline 使用 AI 大模型(Claude)自动处理 GitHub Issue,例如分类问题或执行简单维护任务。攻击者发现,这一流程存在关键漏洞:大模型会把 Issue 标题当作任务指令执行。
攻击流程大致如下:
攻击者提交一个带有提示注入(prompt injection)的 GitHub Issue 标题
AI 问题处理机器人读取标题并误认为是合法任务
机器人执行指令,从攻击者指定仓库安装 npm 包
攻击者利用缓存投毒等方式影响 CI/CD 构建流程
在夜间发布流程中窃取 npm 发布凭证
利用凭证发布被篡改的 Cline 2.3.0 版本
新版本在安装时自动执行脚本,全局安装 AI Agent OpenClaw
在该恶意版本上线的约 8 小时窗口期内,约 4000 名开发者下载了该软件包。
由此可见,“Clinejection” 事件传递出一个明确的信号:当 AI 开始自动执行任务时,自然语言本身就可能成为攻击载体。
随着 AI Agent 逐渐接管开发流程,从代码生成到 CI/CD 自动化,软件供应链安全正在进入一个新的阶段 —— 攻击者不再需要破解系统,只需要说服 AI 执行错误的指令。