Penjelasan teknis
Server Cline Kanban versi 0.1.59 mengekspos tiga endpoint WebSocket tak terauthentikasi di port 3484 (runtime state, terminal I/O, session control) tanpa validasi origin. Situs web apa pun yang dikunjungi pengembang dapat terhubung diam-diam, mengekstrak data workspace (jalur filesystem, riwayat git, pesan chat AI), menyuntikkan perintah ke terminal agen, atau menghentikan sesi aktif. Browser tidak memberlakukan pembatasan lintas-origin pada koneksi WebSocket ke localhost.
Vektor serangan
Penyerang menyelenggarakan halaman web berbahaya. Ketika pengembang dengan Cline berjalan mengunjungi halaman tersebut, JavaScript terhubung ke endpoint WebSocket ws://127.0.0.1:3484. Endpoint runtime mengembalikan snapshot lingkungan lengkap. Endpoint terminal menerima input mentah yang ditulis langsung ke buffer pseudo-terminal. Dengan flag 'bypass permissions' default Cline yang diaktifkan, perintah yang disuntikkan dijalankan tanpa otorisasi. Serangan tidak memerlukan phishing, malware, atau social engineering—hanya kunjungan halaman web.
Sistem yang terdampak
Cline (asisten coding AI open-source yang banyak diadopsi) dengan fitur Kanban diaktifkan, versi 0.1.59 dari paket npm. Masalah ini diungkapkan 7 Mei 2026 oleh Oasis Security dengan skor CVSS 9.7.
Mitigasi
Perbarui Cline ke versi 0.1.66 segera. Nonaktifkan flag 'bypass permissions' di pengaturan Cline untuk memerlukan otorisasi per-aksi bagi perintah shell dan modifikasi filesystem. Audit untuk kesalahan serupa localhost-as-trust-boundary di alat coding AI lainnya. Oasis Security mencatat ini mengikuti pola yang sama dengan penelitian OpenClaw sebelumnya mereka, menunjukkan bahwa flaw ini bersifat sistemik di seluruh platform agen AI.