开源AI编程助手Cline最近爆出一个几乎满分的安全漏洞。安全研究员TheRealSpencer披露,其看板服务器存在跨源WebSocket劫持漏洞,攻击者无需用户任何操作,就能远程窃取工作区数据并执行任意代码。该漏洞编号CVE-2026-44211,CVSS评分高达9.7,属于临界级别。

问题的根源出在Cline命令行工具依赖的kanban npm包上。应用启动时会在本地3484端口开启WebSocket服务器,但这个服务器既不做身份验证,也不检查请求的来源头。这意味着开发者只要开着Cline、浏览器里打开一个恶意网页,攻击者的JavaScript就能直接连上这台本地服务器。

打开网易新闻 查看精彩图片

Oasis Security的研究人员指出,浏览器对本地主机的跨源WebSocket连接没有限制,这让恶意脚本可以畅通无阻地访问暴露的端点。一旦连上运行时数据流,攻击者能立刻拿到文件系统路径、git分支信息、任务标题、AI代理实时聊天记录等敏感信息。

更危险的是终端控制权。通过连接终端输入输出WebSocket,攻击者可以直接向AI代理的活跃工作区注入任意提示词。系统会把这些注入的命令当成正常用户输入处理,只要加个回车,文本注入就变成了完整的远程代码执行。安全专家已证实,这能在受害者操作系统上执行恶意shell命令,全程不需要用户点任何确认。

攻击者还能操纵控制服务器端点终止活跃会话,制造拒绝服务。漏洞影响所有部署了Node.js和Cline的平台,包括macOS、Linux和Windows。目前官方尚未发布补丁,旧版本Cline CLI的用户完全暴露在风险中。

缓解这个问题需要对应用的本地Web服务器实现做结构性改动。TheRealSpencer在GitHub公开细节后,安全专业人士建议开发者至少要做两件事:验证来源头防止未授权WebSocket升级,以及在服务器启动时生成随机会话令牌,让外部来源无法猜中连接参数。