Em mais um ataque à cadeia de suprimentos de software, a assistente de codificação Cline CLI, uma ferramenta open-source impulsionada por inteligência artificial (AI), teve sua versão atualizada para instalar silenciosamente o OpenClaw, um agente AI autônomo e self-hosted que ganhou grande popularidade nos últimos meses.
No dia 17 de fevereiro de 2026, às 3h26 da manhã, horário do Pacífico (PT), um invasor usou um token de publicação npm comprometido para lançar a atualização [email protected] no repositório npm, conforme comunicado dos desenvolvedores do Cline.
A modificação incluiu um script pós-instalação no arquivo package.json que executava a instalação global do OpenClaw: `"postinstall": "npm install -g openclaw@latest"`.
Assim, ao instalar o Cline versão 2.3.0, o OpenClaw era automaticamente instalado na máquina do desenvolvedor.
Apesar disso, o pacote Cline não sofreu outras alterações, e nenhum comportamento malicioso foi detectado.
Os responsáveis ressaltaram, porém, que a instalação do OpenClaw não foi autorizada nem prevista.
O ataque à cadeia de suprimentos afetou todos os usuários que instalaram o pacote Cline CLI na versão 2.3.0 durante uma janela de aproximadamente oito horas, entre 3h26 e 11h30 (horário PT) do mesmo dia.
Importante destacar que a extensão do Cline para Visual Studio Code (VS Code) e o plugin para JetBrains não foram afetados.
Para mitigar o problema, os mantenedores lançaram a versão 2.4.0, descontinuaram a 2.3.0 e revogaram o token comprometido.
Além disso, implementaram melhorias no mecanismo de publicação npm, adotando OpenID Connect (OIDC) via GitHub Actions para aumentar a segurança.
Em uma postagem na rede social X, a equipe de Threat Intelligence da Microsoft observou um aumento discreto, porém perceptível, nas instalações do OpenClaw durante o dia 17 de fevereiro, consequência direta da brecha no pacote Cline CLI.
A empresa StepSecurity estimou cerca de 4.000 downloads do pacote comprometido nesse período.
Usuários são orientados a atualizar para a versão mais recente, verificar se há instalações não autorizadas do OpenClaw em seus ambientes e removê-las caso não sejam necessárias.
Henrik Plate, pesquisador da Endor Labs, destacou que o impacto geral é considerado baixo, apesar do alto número de downloads.
Ele pontuou que o OpenClaw não é malicioso por si só e que a instalação não envolveu a ativação de serviços como o Gateway daemon.
Ainda assim, o incidente reforça a importância de que mantenedores adotem processos confiáveis de publicação e evitem o uso de tokens tradicionais, enquanto os usuários devem monitorar atentamente alterações e a presença das devidas certificações nas atualizações.
Embora a identidade e as motivações dos invasores ainda não estejam claras, o incidente ocorre após o pesquisador Adnan Khan revelar que era possível roubar tokens de autenticação do repositório por meio de uma técnica chamada prompt injection.
Essa técnica explorava a automação configurada para analisar e responder a issues abertas no GitHub.
No fluxo de trabalho automatizado, sempre que uma nova issue era criada, o sistema acionava o Claude AI, que tinha amplo acesso ao repositório e diversas ferramentas para triagem, com o objetivo de reduzir o trabalho dos mantenedores.
Porém, uma má configuração concedia permissões excessivas ao Claude, possibilitando a execução arbitrária de código na branch principal.
Com o prompt injection embutido no título da issue, um atacante com conta no GitHub podia induzir o agente AI a executar comandos maliciosos e comprometer builds de produção.
Esse problema, codinome “Clinejection”, foi introduzido em 21 de dezembro de 2025 e baseia-se em vulnerabilidades similares ao PromptPwnd.
O ataque consiste em:
1. Induzir o Claude a rodar código arbitrário no workflow de triagem;
2. Evictar entradas legítimas do cache, preenchendo-o com mais de 10 GB de dados inúteis, ativando a política de remoção de entradas menos usadas (LRU) do GitHub;
3. Inserir dados corrompidos no cache, alinhados às chaves usadas pelo workflow de lançamento noturno;
4. Aguardar a execução do workflow noturno, por volta das 2h UTC, para ativar o cache comprometido.
Com isso, o invasor obtém execução de código no workflow noturno, roubando segredos de publicação.
Caso obtenha os tokens de produção, o ataque configura uma ameaça devastadora à cadeia de suprimentos.
Uma atualização maliciosa, lançada com credenciais comprometidas, poderia afetar todos os desenvolvedores que tenham a extensão instalada e configurada para atualização automática.
Em resumo, o ataque explora o envenenamento da cache de GitHub Actions para transitar do workflow de triagem para workflows privilegiados, como os de publicação noturna, e roubar tokens com permissões equivalentes às de lançamentos em produção.
Foi exatamente esse cenário que ocorreu, com o invasor usando um token ativo (NPM_RELEASE_TOKEN ou NPM_TOKEN) para autenticar no registro Node.js e publicar a versão 2.3.0 do Cline.
Chris Hughes, vice-presidente de Estratégia de Segurança da Zenity, comentou: “Debatíamos a segurança da cadeia de suprimentos de AI em termos teóricos por muito tempo.
Agora, isso virou realidade operacional.
Quando um único título de issue pode afetar toda a pipeline automatizada de build e impactar uma versão publicada, o risco deixa de ser abstrato.
A indústria precisa reconhecer agentes AI como atores privilegiados que demandam governança robusta.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...