前言
AI 编码助手在工作区层面掌握着开发者大量的敏感信息——代码、密钥、项目结构、Git 历史记录。一旦这个入口被攻破,影响范围远超普通 Web 应用漏洞。2026 年 5 月 7 日,安全研究机构 Oasis Security 披露了开源 AI 编码助手 Cline 的 Kanban 功能存在一处 CVSS 9.7 高危漏洞:本地 WebSocket 服务器缺少来源验证和身份认证,任意网页都能悄无声息地将其劫持。
这意味着,开发者只是正常浏览网页,攻击者就能完成从情报收集到远程代码执行的完整攻击链。
漏洞详情:三个无验证端口,构成立即可用的攻击面
Cline 的 Kanban 功能为本地开发项目提供 Web 界面的任务管理,背后跑着一个本地 HTTP + WebSocket 服务器,默认监听端口 3484。
该服务器暴露了三个核心 WebSocket 端点,均未校验 Origin 请求头,也没有任何会话令牌机制:
| 端点 | 功能 | 风险 |
|---|---|---|
runtime | 连接时推送完整环境快照,包括文件系统路径、任务数据、Git 历史和 AI Agent 聊天记录 | 敏感工作区数据全量泄露 |
terminal | 提供 Agent 伪终端的双向读写访问,写入直接进入输入缓冲区 | 可向 AI Agent 注入任意命令 |
session | 管理会话生命周期 | 可强制终止开发者正在运行的 AI 任务 |
安全研究人员特别指出:传统浏览器安全模型假设 localhost 是可信边界,不会对 localhost 的 WebSocket 连接施加跨域限制——这在当前浏览器安全策略下已不再成立。
攻击链复现:零门槛,从浏览网页到代码执行
完整攻击链完全在浏览器 JavaScript 中完成,无需受害者配合任何额外操作:
- 连接
runtime端点:获取开发者工作区的完整环境快照,定位活跃任务 ID - 识别有价值目标:根据工作区结构和聊天记录,判断是否存在高价值项目
- 向
terminal端点推送命令:将恶意 Shell 指令写入 Agent 输入缓冲区 - Agent 执行命令:由于 Cline 默认开启 bypass permissions(绕过权限确认),命令直接执行
关键在于:Oasis Security 评价称「此漏洞不需要钓鱼、不需要恶意软件、不需要社工手段」,攻击者只需诱导开发者访问一个网页,攻击就在后台静默完成。
默认配置的放大效应:bypass permissions
Cline 默认开启的 bypass_permissions 标志进一步放大了该漏洞的危害。这个设计本意是提升开发效率,让 AI Agent 在执行 Shell 命令或修改文件系统时无需逐条确认。但当 WebSocket 劫持发生时,这个「便利」直接变成了攻击者的「特权」。
建议所有 Cline 用户立即:在设置中关闭 bypass_permissions 选项。
漏洞处置时间线
- 受影响版本:Cline Kanban npm 包 0.1.59
- 修复版本:0.1.66(已发布)
- 建议行动:所有使用 Cline 的开发者立即更新到 0.1.66,并审查是否存在异常会话
我们的判断
对谁有用:使用 Cline 或类似 AI 编码助手的开发者,以及企业安全团队。
影响在哪里:这并非孤例。Oasis Security 此前在 OpenClaw 研究中已记录过类似的「本地监听即信任边界」错误模式,本次 Cline 漏洞是同一系统性问题的又一次验证。随着 AI 编码助手普及,任何在本地端口开放 AI Agent 控制接口的工具,都应被纳入安全审计范围。
趋势判断:AI 编码助手正在成为攻击者的新型突破口——不是通过模型的 Prompt 注入,而是通过攻击运行时的通信通道。这类攻击面往往被传统安全扫描忽略,却是最高效的横向移动路径。建议企业安全团队对团队内使用的所有 AI 工具开展本地端口监听专项审计。