Ein unbefugter Akteur nutzte einen kompromittierten npm-Token, um die KI-gestützte Coding-Assistentin Cline CLI zu manipulieren und heimlich OpenClaw zu installieren. Der Angriff zeigt Sicherheitslücken in der automatisierten KI-Integration von GitHub-Workflows.
Die Open-Source-Plattform Cline CLI wurde Opfer eines weiteren Lieferketten-Anschlags: Ein Unbekannter nutzte einen gestohlenen npm-Veröffentlichungs-Token, um Version 2.3.0 des beliebten KI-Coding-Assistenten zu manipulieren und darüber das autonome KI-System OpenClaw auf Entwickler-Systemen zu installieren.
Die Cline-Betreuer erklärten: Am 17. Februar 2026 um 3:26 Uhr PT veröffentlichte eine nicht autorisierte Person über einen kompromittierten Token die modifizierte Version 2.3.0 in der npm-Registry. Das Paket enthielt einen manipulierten postinstall-Skript, der automatisch OpenClaw installierte. Zwar bestätigten die Betreuer, dass keine weiteren bösartigen Änderungen vorgenommen wurden – doch die unbefugte Installation war eindeutig nicht beabsichtigt.
Die Auswirkungen beschränkten sich auf ein achtständiges Fenster zwischen 3:26 und 11:30 Uhr PT. Die VS-Code-Extension und JetBrains-Plugins blieben unbeeinträchtigt. Zur Schadensbegrenzung veröffentlichten die Betreuer sofort Version 2.4.0, deaktivierten Version 2.3.0 und sperrten den kompromittierten Token. Zudem wird das Publishing künftig über OpenID Connect und GitHub Actions gesichert.
Microsoft Threat Intelligence beobachtete einen deutlichen Anstieg bei OpenClaw-Installationen. Nach Angaben von StepSecurity wurde die manipulierte Cline-Version etwa 4.000 Mal heruntergeladen. Sicherheitsforscher Henrik Plate von Endor Labs warnte dennoch: “Der Gesamtschaden ist gering, da OpenClaw selbst ungefährlich ist. Aber dieser Vorfall unterstreicht, wie wichtig sichere Publishing-Mechanismen sind.”
Die eigentliche Sicherheitslücke wurde bereits im Dezember 2025 durch eine Prompt-Injection-Schwachstelle ermöglicht. Sicherheitsforscher Adnan Khan entdeckte, dass Angreifer GitHub-Workflows manipulieren konnten, indem sie in Issue-Titles bösartigen Code einschleusten. Das System gab Claude, einem KI-Agenten, übermäßige Berechtigungen für die automatisierte Issue-Bearbeitung.
Diese als “Clinejection” bezeichnete Schwachstelle ermöglichte es einem Angreifer mit GitHub-Konto, den KI-Agent zur Ausführung beliebiger Befehle zu verleiten und Repository-Secrets zu stehlen – einschließlich der npm-Veröffentlichungs-Tokens für Produktionsversionen. Genau diese Tokens wurden nun missbraucht.
Die Angriffskette nutzte GitHub Actions Cache-Poisoning, um von einem einfachen Triage-Workflow zu privilegierten Release-Workflows zu wechseln und die NPM_RELEASE_TOKEN zu entwenden. Mit diesem Token konnte der Angreifer dann die manipulierte Version 2.3.0 veröffentlichen.
Chris Hughes, VP of Security Strategy bei Zenity, warnte: “Wir haben lange theoretisch über KI-Sicherheit in der Lieferkette diskutiert – jetzt ist sie operative Realität. Wenn ein einzelner Issue-Titel einen Build-Pipeline beeinflussen kann, brauchen wir endlich spezifische Governance-Regeln für KI-Agenten als privilegierte Akteure in Entwicklungsprozessen.”
Entwickler sollten auf Version 2.4.0 aktualisieren und ihre Systeme auf unerwartete OpenClaw-Installationen prüfen.
Quelle: The Hacker News