Cline Kanban Güvenlik Açığı: Web Siteleri AI Kodlama Ajanlarını Ele Geçirebiliyor Siber Güvenlik

Cline Kanban Güvenlik Açığı: Web Siteleri AI Kodlama Ajanlarını Ele Geçirebiliyor

Cline Kanban sunucusunda keşfedilen kritik güvenlik açığı, bir geliştiricinin ziyaret ettiği herhangi bir web sitesinin AI ajanının verilerini çalması

Popüler açık kaynak yapay zeka kodlama asistanı Cline'ın Kanban özelliğinde kritik bir güvenlik açığı keşfedildi. Oasis Security araştırmacıları tarafından tespit edilen ve CVSS puanı 9.7 olan bu açık, bir geliştiricinin ziyaret ettiği herhangi bir web sitesinin, Cline çalışırken arka planda sessizce çalışma alanı verilerini sızdırmasına, AI ajanının terminaline komut enjekte etmesine veya aktif oturumları sonlandırmasına izin veriyor. Güvenlik açığı, Kanban npm paketinin 0.1.59 sürümünü etkiliyor ve yerel sunucu tarafından açığa çıkarılan üç WebSocket uç noktasında kaynak doğrulama ve kimlik doğrulama eksikliğinden kaynaklanıyor.

Cline'ın Kanban özelliği, 3484 numaralı bağlantı noktasında yerel bir HTTP ve WebSocket sunucusu tarafından desteklenen web tabanlı bir proje yönetim arayüzü sağlıyor. Sunucu, çalışma zamanı durumu, terminal G/Ç ve oturum kontrolünü yöneten üç WebSocket uç noktası sunuyor. Çalışma zamanı uç noktası, bağlantı anında geliştiricinin ortamının tam bir anlık görüntüsünü (dosya sistemi yolları, görev verileri, git geçmişi ve AI ajan sohbet mesajları dahil) gönderiyor. Terminal uç noktası ise ajanın sözde terminaline ham çift yönlü erişim sağlıyor ve mesajlar doğrudan giriş tamponuna yazılıyor. Araştırmacılar, hiçbir uç noktanın yükseltme isteğindeki Origin başlığını doğrulamadığını veya herhangi bir oturum belirteci gerektirmediğini belirtti.

Saldırı zinciri, Cline çalışırken geliştiricinin ziyaret ettiği herhangi bir web sayfasındaki JavaScript'ten pasif keşiften uzaktan kod yürütmeye kadar ilerliyor. Kötü niyetli bir sayfa, çalışma zamanı uç noktasına bağlanarak çalışma alanı bağlamını toplayabilir, aktif bir görev kimliği belirleyebilir ve ardından terminal uç noktasına ajanın kullanıcı tarafından yazılmış gibi işlediği komutlar gönderebilir. Riski artıran bir diğer faktör ise Cline'ın varsayılan olarak etkin olan 'bypass permissions' bayrağı. Bu bayrak, AI ajanının her eylem için ayrı yetkilendirme gerektirmeden kabuk komutları çalıştırmasına ve dosya sisteminde değişiklik yapmasına izin veriyor. Oasis Security, bu ayarın uygulama ayarlarından devre dışı bırakılmasını öneriyor.

Teknik Analiz

Oasis Security, bulgularını yayınlamadan önce Cline ekibine bildirdi. Cline, güvenlik açığını kapatmak için 0.1.66 sürümünü yayınladı. Bugcrowd'un baş strateji ve güven sorumlusu Trey Ford, sorunun belirli paketin ötesine geçtiğini belirterek, 'Bu güvenlik açığı herhangi bir kimlik avı, kötü amaçlı yazılım veya sosyal mühendislik gerektirmedi. Cline'ı 0.1.66 sürümüne güncellemek bu belirli açığı kapatıyor, ancak asıl yapılması gereken, yerel bir dinleyici açan her AI aracını denetlemek' dedi. Bu sorun, Oasis Security'nin daha önce OpenClaw araştırmasında belgelediği modeli takip ediyor ve localhost'un güven sınırı olarak kabul edilmesi hatasının AI kodlama ajan platformlarında yaygın olduğunu gösteriyor.

Paylaş: