Zur Eindämmung der unbefugten Veröffentlichung haben die Cline-Maintainer die Version 2.4.0 freigegeben. Version 2.3.0 wurde inzwischen für veraltet erklärt und das kompromittierte Token widerrufen. Zudem habe man den npm-Veröffentlichungsmechanismus so angepasst, dass er OpenID Connect (OIDC) über GitHub Actions unterstützt.

Das Microsoft-Threat-Intelligence-Team berichtete in einem Beitrag auf X von einem “kleinen, aber wahrnehmbaren Anstieg” der OpenClaw-Installationen am 17. Februar 2026 infolge der Kompromittierung des Cline-CLI-Pakets. Laut StepSecurity wurde das manipulierte Cline-Paket während des achtstündigen Zeitraums rund 4.000-mal heruntergeladen.

Nutzern wird geraten, auf die aktuelle Version zu aktualisieren, ihre Umgebung auf eine unerwartete Installation von OpenClaw zu prüfen und diese zu entfernen, falls sie nicht benötigt wird. “Die Gesamtauswirkung wird trotz hoher Download-Zahlen als gering eingestuft: OpenClaw selbst ist nicht bösartig, und die Installation umfasst nicht die Installation oder den Start des Gateway-Daemons”, erklärte Henrik Plate, Forscher bei Endor Labs. Das Ereignis unterstreiche dennoch die Notwendigkeit, dass Paket-Maintainer nicht nur vertrauenswürdiges Veröffentlichen aktivieren, sondern auch die Veröffentlichung über herkömmliche Token deaktivieren – und dass Paketnutzer auf das Vorhandensein und plötzliche Fehlen entsprechender Attestierungen achten.

Wer hinter dem Angriff steht und welche Ziele verfolgt wurden, ist bislang unklar. Der Vorfall folgt auf eine Entdeckung des Sicherheitsforschers Adnan Khan: Angreifer könnten die Authentifizierungs-Token des Repositorys über Prompt Injection stehlen, da Cline so konfiguriert war, dass es eingehende GitHub-Issues automatisch sortiert. “Wird ein neues Issue eröffnet, startet der Workflow Claude mit Zugriff auf das Repository und einem breiten Satz an Werkzeugen, um das Issue zu analysieren und zu beantworten”, erläuterte Khan. Ziel sei die Automatisierung der Erstreaktion zur Entlastung der Maintainer gewesen.

Eine Fehlkonfiguration im Workflow räumte Claude jedoch übermäßige Berechtigungen ein, sodass beliebiger Code im Standard-Branch ausgeführt werden konnte. In Kombination mit einer im Titel eines GitHub-Issues eingebetteten Prompt Injection ließ sich dies von einem Angreifer mit GitHub-Konto ausnutzen, um den KI-Agenten zu beliebigen Befehlen zu verleiten und Produktionsfreigaben zu kompromittieren.

Diese Schwachstelle, die auf PromptPwnd aufbaut, erhielt den Namen Clinejection und wurde durch einen Commit vom 21. Dezember 2025 eingeführt. Laut Khan ließe sich darüber Codeausführung im Nightly-Workflow erreichen und die Veröffentlichungs-Geheimnisse stehlen; gelangten Angreifer an die Produktions-Publish-Token, wäre das Ergebnis ein verheerender Lieferketten-Angriff. Die Angriffskette nutzt Cache Poisoning bei GitHub Actions, um vom Triage-Workflow zu hochprivilegierten Workflows wie Publish Nightly Release und Publish NPM Nightly überzugehen und die Nightly-Token zu erbeuten, die denselben Zugriff besitzen wie die für Produktionsfreigaben. Genau dies geschah: Der unbekannte Akteur missbrauchte ein aktives npm-Publish-Token (als NPM_RELEASE_TOKEN beziehungsweise NPM_TOKEN bezeichnet), um sich beim Node.js-Registry zu authentifizieren und Cline 2.3.0 zu veröffentlichen.

“Wir reden seit zu langer Zeit nur theoretisch über KI-Lieferkettensicherheit, und in dieser Woche wurde sie zur operativen Realität”, sagte Chris Hughes, VP of Security Strategy bei Zenity. Wenn ein einzelner Issue-Titel eine automatisierte Build-Pipeline beeinflussen und eine veröffentlichte Freigabe betreffen könne, sei das Risiko nicht länger theoretisch. Die Branche müsse beginnen, KI-Agenten als privilegierte Akteure zu begreifen, die Governance erfordern.