技術的な説明
Cline Kanban サーバーバージョン 0.1.59 は、オリジン検証なしでポート 3484 上の3つの認証なし WebSocket エンドポイント (ランタイム状態、ターミナル I/O、セッション制御) を公開しています。開発者が訪問するあらゆるウェブサイトは静かに接続し、ワークスペースデータ (ファイルシステムパス、Git履歴、AI チャットメッセージ) を流出させたり、エージェントのターミナルにコマンドを注入したり、アクティブなセッションを終了させたりできます。ブラウザは localhost への WebSocket 接続にクロスオリジン制限を適用しません。
攻撃経路
攻撃者が悪意のあるウェブページをホストします。Cline が実行されている状態で開発者がそのページを訪問すると、JavaScript が ws://127.0.0.1:3484 WebSocket エンドポイントに接続します。ランタイムエンドポイントは完全な環境スナップショットを返します。ターミナルエンドポイントは疑似ターミナルバッファに直接書き込まれた生の入力を受け入れます。Cline のデフォルト「permissions を bypass」フラグが有効な場合、注入されたコマンドは認可なしで実行されます。この攻撃にはフィッシング、マルウェア、ソーシャルエンジニアリングは必要なく、ウェブページの訪問だけで済みます。
影響を受けるシステム
Cline (広く採用されているオープンソースの AI コーディングアシスタント) で Kanban 機能が有効になっている npm パッケージのバージョン 0.1.59。この問題は 2026 年 5 月 7 日に Oasis Security により開示され、CVSS スコアは 9.7 です。
緩和策
Cline をバージョン 0.1.66 に直ちに更新してください。Cline 設定で「permissions を bypass」フラグを無効にして、シェルコマンドとファイルシステム修正に対するアクション単位の認可を要求するようにしてください。他の AI コーディングツール内の同様の localhost-as-trust-boundary エラーを監査してください。Oasis Security は、これが以前の OpenClaw 研究と同じパターンに従っており、この欠陥が AI エージェントプラットフォーム全体にわたってシステミックであることを示唆していると指摘しています。