この記事は、The Hacker News、Dark Reading、The Register、Endor Labs など複数の海外メディア・セキュリティ機関の報道を要約・解説したものです。
2026年2月17日(米国太平洋時間)、AIコーディングアシスタント「Cline」のCLI版npmパッケージがサプライチェーン攻撃を受け、約8時間にわたって不正な公開版が配布されていたことが明らかになりました。なお、今回の不正版はマルウェアを直接仕込むものではなく、別のAIエージェントを無断インストールするものでしたが、その潜在的なリスクが問題視されています。
何が起きたのか
Clineのメンテナーが公開したセキュリティアドバイザリによると、2月17日午前3時26分(太平洋時間)に、何者かが不正に取得したnpm公開トークンを使い、cline@2.3.0 をnpmレジストリに公開したとのことです。
この改ざんされたパッケージには、package.json に以下のpostinstallスクリプトが追加されていたと報じられています。
"postinstall": "npm install -g openclaw@latest"
これにより、Cline 2.3.0をインストールした開発者のマシンに「OpenClaw」という自律型AIエージェントが自動的にグローバルインストールされる仕組みになっていたとのことです。改ざんは午前11時30分頃まで続き、約8時間の間に約4,000回ダウンロードされたとStepSecurityが報告しています。
影響範囲と深刻度
今回実際に起きたこと
Clineのメンテナーによると、不正公開版に追加されたのはOpenClawのグローバルインストールのみであり、それ以外の悪意あるコード変更は確認されていないとされています。また、OpenClaw自体は正規のオープンソースプロジェクトであり、マルウェアではないとのことです。Endor Labsの研究者ヘンリック・プレート氏は「Gatewayデーモンのインストール・起動は含まれていないため、全体的な影響は低いと考えられる」と評価していると報じられています。
潜在的なリスク
一方で、OpenClawの設計自体が持つ権限の広さに懸念を示す声もあります。Dark Readingの報道によると、StepSecurityの研究者は、OpenClawがフルディスクアクセスを持ち、バックグラウンドでWebSocketサーバーとして動作するGatewayデーモンを持続的に実行できる設計であることを指摘し、「この設計は攻撃者にとって非常に価値の高いインプラントになりうる」という趣旨の警告を行ったとされています。
つまり、今回の不正公開版自体による直接的な被害は限定的と評価されていますが、仮にOpenClawが意図せずインストールされたまま放置された場合、将来的に悪用される足場となりうるリスクが指摘されているということです。
なお、ClineのVS Code拡張機能およびJetBrainsプラグインは影響を受けていないと報告されています。
攻撃の発端:プロンプトインジェクション脆弱性
この攻撃には前段がありました。セキュリティ研究者のアドナン・カーン氏が2月初旬に、ClineのGitHubワークフロー(Claude Issue Triage)にプロンプトインジェクション脆弱性を発見・公開していたとのことです。
Dark Readingの報道によると、この脆弱性は2025年12月21日から2026年2月9日の間に存在し、攻撃者がリリーストークンなどの秘密情報を窃取できる状態にあったとされています。カーン氏は自身のテストリポジトリでPoC(概念実証)を検証しましたが、報道によると、別の何者かがこのPoCを利用してClineのリポジトリに対して攻撃を行い、公開用認証情報を取得した可能性があるとのことです。ただし、最終的な攻撃者の特定は現時点では未確定とされています。
カーン氏本人はサプライチェーン攻撃への関与を否定しているとのことです。
対応状況
Clineのメンテナーは以下の対応を実施したと報告されています。
- 修正版
2.4.0をリリース - 改ざんされた
2.3.0を非推奨(deprecated)に設定 - 漏洩したnpmトークンを失効
- npm公開メカニズムをGitHub Actions経由のOIDC(OpenID Connect)プロベナンスに移行
日本の開発者への影響と教訓
Clineは、VS Code上で動作するAIコーディングアシスタントとして日本でも利用者が増えています。今回影響を受けたのはCLI版のnpmパッケージのみとされていますが、本事件にはnpmエコシステム全体に共通する重要な教訓が含まれています。
「信頼された公開」だけでは不十分
Endor Labsの分析によると、Clineのメンテナーはnpmの「Trusted Publishing」(GitHub Actionsから短命のOIDCトークンで公開する仕組み)を有効にしていたとのことです。しかし従来のトークンベースの公開を無効にしていなかったため、長命のトークンが漏洩した時点で攻撃が成立してしまったとされています。
npmの公式ドキュメントでも、Trusted Publishing設定後は従来のトークンによる公開を制限することが推奨されていますが、実際に対応しているメンテナーは少ないと指摘されています。
推奨アクション
- Cline CLIユーザー:
cline --versionでバージョン確認。2.3.0なら2.4.0以上に更新し、npm uninstall -g openclawを実行 - npmパッケージ管理者:Trusted Publishing有効化に加え、従来のトークンによる公開を明示的に無効化する
- 開発チーム全般:依存パッケージのアテステーション(署名証明)の有無を監視する運用を検討する
出典:
- The Hacker News – Cline CLI 2.3.0 Supply Chain Attack Installed OpenClaw on Developer Systems
- Dark Reading – Supply Chain Attack Secretly Installs OpenClaw for Cline Users
- The Register – AI coding assistant Cline compromised, installs OpenClaw
- Endor Labs – Supply Chain Attack targeting Cline installs OpenClaw
本件は GHSA-9ppg-jx86-fqw7 として追跡されています。最新情報はCline公式アドバイザリおよびGitHub Security Advisoryを継続確認することを推奨します。
コメント