기술 설명
Cline Kanban 서버 버전 0.1.59는 포트 3484에 세 개의 인증되지 않은 WebSocket 엔드포인트(런타임 상태, 터미널 I/O, 세션 제어)를 노출하며 원본 검증이 없습니다. 개발자가 방문하는 모든 웹사이트는 조용히 연결하여 워크스페이스 데이터(파일시스템 경로, git 히스토리, AI 채팅 메시지)를 유출하거나, 에이전트의 터미널에 명령을 주입하거나, 활성 세션을 종료할 수 있습니다. 브라우저는 localhost에 대한 WebSocket 연결에 대해 교차 출처 제한을 시행하지 않습니다.
공격 경로
공격자는 악성 웹페이지를 호스팅합니다. Cline이 실행 중인 개발자가 페이지를 방문하면 JavaScript는 ws://127.0.0.1:3484 WebSocket 엔드포인트에 연결합니다. 런타임 엔드포인트는 전체 환경 스냅샷을 반환합니다. 터미널 엔드포인트는 의사 터미널 버퍼에 직접 작성된 원본 입력을 수락합니다. Cline의 기본 '권한 우회' 플래그가 활성화된 상태에서, 주입된 명령은 인증 없이 실행됩니다. 공격은 피싱, 악성코드, 또는 사회공학 없이—단순히 웹페이지 방문만으로 가능합니다.
영향받는 시스템
Cline (널리 채택된 오픈소스 AI 코딩 어시스턴트)에서 Kanban 기능이 활성화된 npm 패키지 버전 0.1.59. 이 문제는 2026년 5월 7일 Oasis Security에 의해 공개되었으며 CVSS 점수는 9.7입니다.
완화 방안
Cline을 버전 0.1.66으로 즉시 업데이트하세요. Cline 설정에서 '권한 우회' 플래그를 비활성화하여 셸 명령 및 파일시스템 수정에 대한 작업별 인증을 요구하세요. 다른 AI 코딩 도구에서 유사한 localhost-as-trust-boundary 오류를 감시하세요. Oasis Security는 이것이 이전의 OpenClaw 연구와 동일한 패턴을 따르며, AI 에이전트 플랫폼 전반에 걸쳐 결함이 체계적임을 시사한다고 언급합니다.