Cline AI Coding Agent Vulnerabilities Enables Prompt Injection, Code Execution, and Data Leakage
2025/11/20 CyberSecurityNews — Cline は、380 万回インストールされ、GitHub で 5 万2000 以上のスターを獲得している、オープンソースの AI コーディング・エージェントである。このエージェントに存在する4つの深刻なセキュリティ脆弱性を悪用する攻撃者は、悪意のあるソースコード・リポジトリを介して任意のコードを実行し、機密データの窃取を可能にするという。Mindgard の研究者たちが、これらの脆弱性を発見したのは、Claude Sonnet と無料の Sonic モデルをサポートする、人気の VSCode エクステンションの調査中のことだった。
一連の脆弱性は、Cline によるソースコード・ファイルの分析中の、プロンプト・インジェクション保護が不十分であることに起因している。攻撃者は、Python/Markdown/シェル・スクリプトに悪意の命令を埋め込むことで、エージェントの安全対策を無効化できる。
注目すべきは、侵害されたリポジトリを開いて分析を要求するだけで、これらの脆弱性の悪用が可能な点である。
すべての脆弱性について、公開前にベンダーに開示したと、Mindgard は報告している。彼らのチームが、何度も連絡を試みてきたが、回答は得られなかったという。
Cline AI コーディング・エージェントの脆弱性
DNS ベースのデータを窃取する攻撃者は、機密性の高い API キーや環境変数を漏洩させることが可能だ。コード・コメントに命令を隠すことで、攻撃者は Cline を騙し、自身のサーバに送信される DNS リクエストにシステム情報を埋め込む ping コマンドの実行を可能にする。
“.clinerules” による任意コード実行は、Cline のカスタムルール・システムを悪用するものだ。攻撃者は、プロジェクトの “.clinerules” ディレクトリに悪意の Markdown ファイルを配置する。
すべての execute_command 操作を、”requires_approval=false” で強制的に実行することで、ユーザーの同意メカニズムを回避し、サイレント・コード実行が可能になる。
攻撃者は、TOCTOU (time-of-check-time-of-use) ロジックを悪用して、複数の分析リクエストにわたってシェル・スクリプトを段階的に変更する。
最初に攻撃者は、スクリプトに無害なコードを追加し、その後のバックグラウンド・タスクの実行中にスクリプトを変更して、有害なコードを追加する可能性を得る。また、エラー・メッセージを介した情報漏洩により、基盤となるモデル・インフラが明らかにされ、Sonic モデルが grok-4 で動作しているという事実が露呈する。
すでに Cline の開発チームは、バージョン 3.35.0 をリリースし、強化されたプロンプト・インジェクション検出などの緩和策を実装している。その一方で Mindgard の研究者たちが指摘するのは、ベンダーの対応の遅れがセキュリティ対策のタイムラインを混乱させ、LLM エージェントの悪用の速度に関する懸念を引き起こしているというものだ。
この調査結果が強調するのは、システム・プロンプトが、セキュリティの核となる境界であることだ。
AI エージェントが不可欠な開発ツールになる一方で、言語/ツール/コード実行の交差点であるセキュリティ確保は、依然として極めて未整備な状態にある。
リポジトリ内のテキストを、Cline が信じて行動してしまう設計になっていたことが、問題の根本にあるように見えます。ただのコンフィグやコメントに見える場所に命令を書き込まれると、そのままエージェントがコマンド実行や情報送信に踏み込んでしまう点が危険だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、カテゴリ AI/ML を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.