Автоматизация разработки с помощью ИИ-агентов стала привычной практикой, но вместе с удобством приходят новые риски. Популярный открытый AI-агент Cline, который разработчики доверяют прямой доступ к исходному коду, облачным учетным данным и терминалам, недавно получил исправление для крайне опасной уязвимости. Исследователи из компании Oasis Security обнаружили, что брешь в локальном Kanban-сервере позволяет любой вредоносной веб-странице незаметно захватить управление компьютером разработчика. Рейтинг по шкале CVSS (общая система оценки критичности уязвимостей) составил 9,7 балла из десяти возможных, что говорит о чрезвычайной серьезности проблемы.
Детали уязвимости
Корень уязвимости кроется в том, как Kanban-сервер обрабатывает связь в реальном времени между своим интерфейсом управления и сеансами AI-агента. Cline устанавливает на компьютере разработчика WebSocket-слушатель (протокол для постоянного двустороннего обмена данными в реальном времени), который открыт для подключения из браузера. Однако разработчики не предусмотрели элементарных проверок безопасности. Сервер не проверяет источник соединения (origin validation), не требует токенов аутентификации и не имеет механизмов, подтверждающих, что подключающийся клиент - это легитимный Kanban-интерфейс. Ситуацию усугубляет особенность протокола WebSocket: он не подчиняется стандартным ограничениям CORS (механизма контроля доступа между разными веб-ресурсами). Таким образом, WebSockets остаются слепой зоной браузерной защиты, и злоумышленники могут этим пользоваться.
Что это означает на практике? Если разработчик открывает в браузере страницу, которая содержит вредоносный JavaScript, этот скрипт может обойти обычные барьеры между сайтами и установить прямое соединение с локальным Kanban-сервером Cline. Сервер не проверяет, кто к нему обращается, и потому передает всю информацию. Атака не требует фишинга, социальной инженерии или установки вредоносного ПО - достаточно просто зайти на скомпрометированный сайт, пока работает уязвимый Kanban-сервер. И таких сайтов может быть много: от личных блогов до популярных технологических платформ, где возможна инъекция скриптов.
Исследователи выделили три разрушительные возможности, которые открывает эта уязвимость. Первая - сбор разведданных в реальном времени. Как только соединение установлено, Kanban-сервер передает вредоносной странице полный слепок рабочего окружения разработчика. Злоумышленник может тихо собирать пути к файлам, описание задач, названия веток в Git и полную историю диалогов с AI-агентом. Эта информация ценна сама по себе, но она служит лишь разминкой.
Вторая и самая опасная возможность - захват терминала. Сервер предоставляет канал для прямой записи в терминальный ввод AI-агента. Атакующая веб-страница может отправить ложную команду, а затем симулировать нажатие клавиши, чтобы AI-агент воспринял ее как законное указание. Агент выполнит выбранную shell-команду, и злоумышленник получает полноценный доступ к командной строке компьютера разработчика. Дальнейшие действия ограничены лишь фантазией атакующего: кража данных, установка закладок, запуск программ-вымогателей - все это становится возможным.
Третья возможность - отказ в обслуживании. Злоумышленник может прервать активные задачи агента, полностью остановив рабочий процесс разработчика. Для команды, которая опирается на автоматизацию, такой срыв может обернуться потерей времени и дедлайнов.
Важно отметить, что атака происходит абсолютно бесшумно - без всплывающих окон, запросов разрешений или подозрительных процессов. Разработчик не получает никаких предупреждений, пока злоумышленник уже не получил доступ. Это делает уязвимость особенно коварной, ведь даже опытные специалисты могут не заметить угрозы.
К счастью, Oasis Security ответственно сообщила о проблеме разработчикам Cline, и она уже исправлена в версии 0.1.66. Тем не менее, многие пользователи могли не обновиться, и их системы по-прежнему под угрозой. Разработчикам, использующим функцию Kanban, необходимо немедленно обновить Cline до актуальной версии. Кроме того, команды безопасности должны провести аудит своих сред разработки на наличие аналогичных уязвимостей, связанных с локальными слушателями (listeners). Особенно это касается решений, где AI-агенты работают с повышенными привилегиями.
Специалисты по защите информации рекомендуют ограничить доступ к локальным службам через межсетевые экраны на уровне хоста и политики защиты конечных точек. Это поможет предотвратить запуск неавторизованных процессов, которые могут прослушивать сетевые порты. По мере того, как AI-агенты все чаще действуют автономно и с широкими правами, организациям необходимо внедрять специализированные средства контроля доступа. Они должны отслеживать поведение агентов и блокировать подозрительные команды, не дожидаясь вмешательства человека.
История с Cline - очередное напоминание: чем больше автоматизации и доверия мы передаем ИИ, тем жестче должны быть проверки безопасности на всех этапах. Одна забытая проверка источника подключения может поставить под удар не только отдельного разработчика, но и целый проект с его исходными кодами и облачными секретами. Обновление Cline - не рекомендация, а обязательное действие для всех, кто ценит свои данные и время.
