Kritisk Cline‑sårbarhed muliggør kapring af AI‑kodningsagenter

Eskil Sørensen
05.08.2026 10:25
Manglende sikkerhed i lokal Kanban‑server gør det muligt for vilkårlige websites at aflure udviklingsmiljøer og injicere kommandoer i AI‑agenter uden brugerinteraktion.

En alvorlig sårbarhed i Cline Kanban afslører en grundlæggende designfejl i mange AI‑udviklingsværktøjer: antagelsen om, at localhost er en sikker grænse. Det er den ikke. Fejlen har fået en CVSS‑score på 9,7 og blev offentliggjort 7. maj af Oasis Security. 

Det skriver Security Affairs på baggrund af en rapport fra netop Oasis Security.

Sårbarheden, der ikke har fået et CVE-nummer på nuværende tidspunkt, rammer version 0.1.59 af Kanban‑komponenten i open source‑assistenten Cline, hvis Kanban‑funktion kører via en lokal HTTP‑ og WebSocket‑server på port 3484.

Tre åbne WebSocket‑endpoints

Ifølge Oasis Security mangler tre WebSocket‑endpoints både autentificering og validering af Origin‑headeren. Endpointsene håndterer runtime‑tilstand, terminal‑I/O og sessionskontrol.

Ved forbindelse til runtime‑endpointet sendes et komplet snapshot af udviklerens arbejdsmiljø, herunder filsystemstier, opgavedata, git‑historik og chatbeskeder med AI‑agenten. Terminal‑endpointet giver direkte adgang til agentens pseudo‑terminal, hvor kommandoer behandles som lokale input.

Browsere håndhæver ikke cross‑origin‑beskyttelse for WebSocket‑forbindelser til localhost på samme måde som for HTTP. Det betyder, at JavaScript på et vilkårligt website kan forbinde direkte til den lokale Kanban‑server.

Ingen phishing, fuld effekt

Angrebskæden kan gennemføres udelukkende via et website, som udvikleren besøger, mens Cline kører. Først indsamles kontekst fra runtime‑endpointet, hvorefter angriberen kan sende kommandoer til terminal‑endpointet.

Risikoen forstærkes af Clines standardindstilling “bypass permissions”, som tillader AI‑agenten at eksekvere kommandoer og ændre filer uden løbende godkendelse. Oasis anbefaler at deaktivere funktionen, indtil systemet er opdateret.

Cline‑teamet har lukket sårbarheden i version 0.1.66. Ifølge Bugcrowds Trey Ford rækker problemet dog videre: AI‑værktøjer, der eksponerer lokale services, bør generelt sikkerhedsgennemgås.

Fundet følger samme mønster som tidligere OpenClaw‑undersøgelser fra Oasis Security og peger på et bredere, systemisk problem i AI‑kodningsplatforme. Når AI‑agenter både har dyb indsigt i kodebaser og ret til at udføre kommandoer, bliver svagheder i lokale grænseflader særligt kritiske.

Læs mere

Information