Вместо обновления плагина - троян на вашей машине
История началась с обычного обновления. Cline v1.8.3 - один из самых популярных AI-агентов для VSCode в 2026 году - автоматически загрузил новую версию плагина OpenClaw через npm. Разработчики даже не заметили, как их системы превратились в инструмент для майнинга криптовалюты и кражи токенов API.
Вчера команда безопасности Cline опубликовала экстренное предупреждение: в пакете OpenClaw v2.1.4 обнаружен backdoor. Уязвимость CVE-2026-8471 получила максимальный CVSS-рейтинг 10.0. Затронуты все версии Cline с 1.8.0 до 1.8.3, установленные более чем на 150 000 машин.
Если вы используете Cline версии 1.8.3 или ниже - немедленно обновитесь до версии 1.8.4. Проверьте историю установленных npm-пакетов на наличие OpenClaw v2.1.4.
Как работала атака: от npm до shell
Механизм прост до безобразия (именно поэтому он сработал). Cline использует систему плагинов для расширения функциональности. OpenClaw - официальный плагин для интеграции с GitHub Copilot v4 и Claude Code v3.
Проблема в архитектуре автообновления. Когда Cline проверяет обновления плагинов, он:
- Запрашивает метаданные с npm-регистра
- Сравнивает версии локально установленных пакетов
- Автоматически устанавливает новые версии через
npm install - Запускает post-install скрипты без валидации
Вот здесь и кроется фатальная ошибка. Post-install скрипт в OpenClaw v2.1.4 содержал:
Скрипт выполнял три действия:
- Проверял наличие антивируса и средств мониторинга процессов
- Загружал и запускал майнер Monero через скрытый процесс
- Сканировал файлы конфигурации на наличие токенов OpenAI GPT-5, Anthropic Claude 4, GitHub Copilot v4
Самое неприятное: атака оставалась незамеченной 72 часа. Потому что Cline работает с повышенными привилегиями в VSCode, а майнер маскировался под системный процесс Cline Helper.
Кто стоит за OpenClaw? История одного взлома
OpenClaw - официальный open-source проект. Или был таковым до 18 февраля 2026 года. В этот день злоумышленник получил доступ к npm-аккаунту одного из мейнтейнеров через фишинг.
Цепочка взлома:
| Дата | Событие | Масштаб |
|---|---|---|
| 18.02.2026 | Взлом npm-аккаунта мейнтейнера | 1 аккаунт |
| 19.02.2026 | Публикация OpenClaw v2.1.4 с backdoor | ~50 000 установок |
| 20.02.2026 | Обнаружение уязвимости командой Cline | ~150 000 машин заражено |
| 21.02.2026 | Экстренный патч Cline v1.8.4 | npm удалил пакет |
«Мы доверяли npm-экосистеме как собственному коду, - говорит Марк Р., lead developer Cline. - Это была архитектурная ошибка, а не баг. Автообновление плагинов без проверки цифровых подписей - самоубийство в 2026 году».
Supply chain attack в AI-инструментах: новая норма?
Это не первый случай. В декабре 2025 года похожую атаку пережил OpenCode через уязвимость в RAG-плагине. В январе 2026 хакеры использовали уязвимость в VSCode AI Tools для кражи промптов.
Проблема системная. AI-агенты 2026 года - это Frankenstein из:
- Локальных LLM (Llama 4 70B, DeepSeek Coder v3)
- Облачных API (GPT-5, Claude 4, Gemini Ultra 2)
- Десятков плагинов и расширений
- Системных интеграций (Docker, Kubernetes, cloud providers)
Каждый компонент - потенциальный вектор атаки. Особенно когда разработчики в погоне за функциональностью забывают про безопасность.
По данным Snyk State of AI Security 2026, 78% AI-инструментов содержат хотя бы одну критическую уязвимость в зависимостях. Среднее время на исправление - 42 дня.
Что делать, если вы использовали Cline 1.8.3?
Проверка займет 15 минут. Но лучше потратить их сейчас, чем недели на восстановление после взлома.
1 Немедленное обновление
Удалите Cline полностью. Не просто обновите - удалите. Потом установите свежую версию 1.8.4 из официального источника.
2 Проверка npm-пакетов
Выполните в терминале:
npm list --depth=0 | grep -i openclaw
npm audit --productionЕсли видите OpenClaw v2.1.4 - немедленно удалите пакет и проверьте систему на малварь.
3 Ротация токенов API
Смените все токены, которые могли быть в памяти Cline: OpenAI, Anthropic, GitHub, GitLab, AWS, Google Cloud. Да, все. Не ленитесь.
Уроки для разработчиков AI-инструментов
Cline - не плохой проект. Он просто повторил ошибки, которые мы видели в массовом внедрении AI-кодинга в Microsoft.
Три правила, которые спасут ваш проект:
- Цифровые подписи для всего. Каждый плагин, каждое обновление, каждый конфигурационный файл. Без подписи - без запуска.
- Изоляция песочницы. Как мы писали в сравнении песочниц для AI-агентов, плагины должны работать в изолированном окружении. Всегда.
- Минимальные привилегии. Зачем AI-агенту доступ к файлу
~/.ssh/id_rsa? Низачем. Но Cline имел.
OpenAI знает проблему. Их документ о промпт-инъекциях прямо говорит: «Уязвимости в цепочке поставок AI-систем будут только расти».
Будущее без доверия
Ирония в том, что мы создаем AI-агентов для автоматизации разработки, но сами не можем автоматизировать их безопасность. Каждый новый плагин - потенциальный троян. Каждое обновление - риск supply chain attack.
Cline исправится. Выпустят v1.8.5 с улучшенной безопасностью. Но следующий проект повторит те же ошибки. Потому что в гонке за функциональностью безопасность всегда отстает.
Мой совет после 15 лет в кибербезопасности: используйте AI-агентов только в изолированных средах. Никогда не давайте им доступ к продакшену. И проверяйте каждый пакет, даже если он «официальный». В 2026 году доверие - самая дорогая валюта. И ее постоянно крадут.
