Adnan Khan beschrieb die zugrunde liegende Lücke in einem Blogbeitrag: Zwischen dem 21. Dezember 2025 und dem 9. Februar 2026 habe eine Prompt-Injection-Schwachstelle im inzwischen entfernten “Claude Issue Triage”-Workflow von Cline es jedem Angreifer mit einem GitHub-Konto erlaubt, produktive Cline-Releases sowohl im Visual Studio Code Marketplace als auch in OpenVSX zu kompromittieren und Malware an Millionen von Entwicklern auszuliefern.
Khan zufolge blieben seine ersten Kontaktversuche zu Cline ergebnislos; das Unternehmen schloss die Lücke jedoch kurz nach der Veröffentlichung seiner Forschung. Jemand nutzte die Erkenntnisse aus, entwendete einen npm-Publish-Token und brachte die jüngste Cline-Version dazu, zusätzlich OpenClaw zu installieren. In einem Nachtrag stellte Khan klar, dass er nicht hinter dem Angriff stecke und seinen Proof-of-Concept nicht im Repository von Cline getestet habe: Er habe seinen PoC an einer Kopie von Cline durchgeführt, um die Prompt-Injection-Lücke zu bestätigen. Ein anderer Akteur habe den PoC in seinem Test-Repository gefunden und damit Cline direkt angegriffen, um die Veröffentlichungsdaten zu erlangen.
Henrik Plate, Sicherheitsforscher bei Endor Labs, erläuterte, dass die Version 2.3.0 des Cline-CLI-npm-Pakets einen Post-Install-Hook verwendete, um OpenClaw unbemerkt auf dasselbe System nachzuladen. Da OpenClaw selbst nicht bösartig sei, gelte die Auswirkung als gering. Der Vorfall verdeutliche aber, dass Paket-Maintainer nicht nur vertrauenswürdiges Veröffentlichen aktivieren, sondern auch die Publikation über klassische Tokens deaktivieren sollten – und dass Nutzer auf das Vorhandensein und das plötzliche Fehlen entsprechender Attestierungen achten müssten.
Cline veröffentlichte einen Sicherheitshinweis auf GitHub und gab Version 2.4.0 heraus, während das vorherige, manipulierte npm-Paket entfernt wurde. Der kompromittierte Token sei widerrufen worden, und das npm-Publishing nutze nun OIDC-Provenance über GitHub Actions, teilte das Unternehmen mit.
Dass der kurzlebige Angriff keine Malware ausspielte, bedeutet laut StepSecurity nicht, dass kein ernstes Risiko bestand. Sai Likhith Paradarami, Software-Ingenieur bei StepSecurity, bezeichnete OpenClaw als “gefährliche Payload”, weil das Programm über weitreichende Berechtigungen und vollen Festplattenzugriff verfüge, um Aufgaben im Namen des Nutzers auszuführen. Zudem richte OpenClaw einen dauerhaften Gateway-Daemon ein, der im Hintergrund als WebSocket-Server laufe.
Dieses Design mache OpenClaw zu einem besonders wertvollen Implantat für Angreifer, schrieb Paradarami. Eine heimlich installierte Variante könne einem Angreifer einen dauerhaften Zugang auf einem Zielsystem verschaffen – mit der Möglichkeit, Geheimnisse und Zugangsdaten zu stehlen sowie Entwicklungsumgebungen zu manipulieren. Neben dem Update auf Version 2.4.0 rief er Cline-Nutzer dazu auf, ihre Umgebungen auf unerwünschte OpenClaw-Installationen zu überprüfen.
