概要
GitHub Issueのタイトルに仕込まれたプロンプトインジェクションにより、AIトリアージボットを介してCLIツールの認証情報が窃取され、4,000人以上の開発環境に悪意あるコードが配布された事例の技術分析。
詳細内容
2026年2月に発生した、人気AIコーディングツール「Cline」を標的としたサプライチェーン攻撃(通称:Clinejection)の技術的詳細を解説した記事です。攻撃は以下の5段階で進行しました:
1. **プロンプトインジェクション**: Issueタイトルに埋め込まれた命令が、GitHub Actions上で動くAIトリアージボットによって実行される。
2. **任意コード実行**: ボットが攻撃者のフォークしたリポジトリをインストールし、シェルスクリプトを実行。
3. **キャッシュ汚染**: GitHub ActionsのLRUエビクションポリシーを悪用し、正規のリリースワークフローのキャッシュを汚染。
4. **認証情報の窃取**: リリースワークフローが保持していたNPMトークン等の機密情報を外部に送信。
5. **不正出版**: 窃取したトークンを用い、別のAIエージェント「OpenClaw」を強制インストールさせる不正な`cline@2.3.0`を公開。
この記事は、CI/CD環境におけるAIエージェントの特権アクセスと、外部からの非構造化入力(自然言語)を直接命令として処理する危険性を警告しています。対策として、OIDCによる証明、キャッシュの分離、およびシステムコールレベルでの操作監視の重要性が説かれています。