Исследователи из Oasis Security обнаружили критическую уязвимость в опенсорсном AI-агенте Cline. Проблема связана со встроенным сервером Kanban и позволяет злоумышленникам через обычный браузер получить полный контроль над рабочим окружением разработчика. Уязвимости присвоен рейтинг 9.7 CVSS.

В чем суть проблемы

Причина кроется в реализации WebSocket-сервера (пакет kanban версии 0.1.59), который Cline запускает локально для синхронизации UI. Разработчики допустили классическую ошибку: сервер слушал 127.0.0.1, но не проверял заголовок Origin и не требовал авторизации.

Поскольку браузеры не применяют политику CORS к WebSocket-соединениям так же строго, как к HTTP-запросам, любой вредоносный сайт, открытый в соседней вкладке, мог незаметно подключиться к локальному серверу Cline.

Три сценария атаки

Исследователи выделили три вектора, которые открываются при посещении зараженной страницы:

1. Кража данных: Скрипт автоматически получает полный снимок воркспейса: пути к файлам, названия веток Git и всю историю переписки с AI.
2. Удаленное выполнение кода (RCE): Самый опасный вектор. Через терминальный эндпоинт атакующий может отправить команду напрямую в буфер агента. Если у вас включен автозапуск команд, хакер получает полный доступ к системе с вашими правами.
3. Отказ в обслуживании: Возможность принудительно завершать активные сессии агента.

Что делать вайбкодерам

Риск максимально высок для тех, кто использует функцию «bypass permissions» (автоматическое выполнение команд без подтверждения). В этом случае атака происходит мгновенно и беззвучно.

Срочные меры:

• Обновитесь: Уязвимость исправлена в Cline версии 0.1.66. Проверьте версию своего расширения прямо сейчас.
• Настройки безопасности: Отключите автоматическое выполнение команд в терминале, если оно было включено.
• Гигиена: Не держите открытыми подозрительные вкладки в браузере во время работы с чувствительным кодом через AI-агентов.