Cline 2.3.0 遭遇供应链攻击,却只自动下载了热门 AI 工具 OpenClaw
AI 助手 Cline 的 npm 软件包 2.3.0 版本遭遇供应链攻击,攻击者利用泄露的长期令牌绕过受信任发布流程发布恶意版本。该版本通过安装钩子自动下载 OpenClaw 软件包,影响了 1 月 19 日至 2 月 17 日期间超过 41 万次的下载记录。
安全分析显示 OpenClaw 本身不具恶意且未启动守护进程,因此整体风险评估较低。目前 Cline 已发布 2.4.0 安全版本,受影响用户需手动卸载 OpenClaw 并完成升级。
Endor Labs
🍀在花频道 🍵茶馆聊天 📮投稿
AI 助手 Cline 的 npm 软件包 2.3.0 版本遭遇供应链攻击,攻击者利用泄露的长期令牌绕过受信任发布流程发布恶意版本。该版本通过安装钩子自动下载 OpenClaw 软件包,影响了 1 月 19 日至 2 月 17 日期间超过 41 万次的下载记录。
安全分析显示 OpenClaw 本身不具恶意且未启动守护进程,因此整体风险评估较低。目前 Cline 已发布 2.4.0 安全版本,受影响用户需手动卸载 OpenClaw 并完成升级。
Endor Labs
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: