Ataque a la cadena de suministro de Cline CLI: Inyectan software no autorizado mediante "prompt injection" en GitHub
Un actor desconocido comprometió el popular asistente de programación con IA para instalar el agente OpenClaw en miles de sistemas de desarrolladores. El incidente marca un hito en la realidad operativa de las amenazas contra sistemas automatizados por IA.
El ecosistema de desarrollo de software ha sufrido un nuevo golpe tras confirmarse un ataque a la cadena de suministro que afectó a Cline CLI, un asistente de codificación basado en inteligencia artificial de código abierto. El incidente resultó en la publicación de una versión maliciosa en el registro de paquetes NPM que instalaba de forma automática y sigilosa un agente de IA externo llamado OpenClaw.
El incidente: Ocho horas de exposición
Según el comunicado de los mantenedores de Cline, el ataque ocurrió el 17 de febrero de 2026. Un actor no autorizado utilizó un token de publicación de NPM comprometido para lanzar la versión cline@2.3.0.
Esta versión contenía una modificación en el archivo package.json que incluía un script de "postinstalación". Al descargar el paquete, el sistema del desarrollador ejecutaba automáticamente el comando para instalar globalmente OpenClaw, un agente de IA autónomo que ha ganado popularidad recientemente. Se estima que la versión comprometida fue descargada aproximadamente 4,000 veces durante una ventana de ocho horas antes de ser detectada y retirada.
El origen: Una vulnerabilidad de "Clinejection"
La investigación apunta a que el robo de las credenciales de publicación no fue un hackeo tradicional, sino el resultado de una técnica avanzada conocida como "Clinejection".
El investigador de seguridad Adnan Khan descubrió que el flujo de trabajo de Cline en GitHub estaba configurado para triplicar automáticamente los reportes de errores (issues) utilizando el modelo Claude. Un atacante podía insertar un "prompt injection" (instrucciones maliciosas ocultas) en el título de un issue de GitHub. Al procesar el título, el agente de IA era engañado para ejecutar comandos arbitrarios dentro del entorno de GitHub Actions, lo que permitió al atacante escalar privilegios, envenenar la caché del sistema y, finalmente, extraer los tokens secretos de publicación de NPM.
Impacto y respuesta
Afortunadamente, los analistas de Microsoft Threat Intelligence y Endor Labs señalaron que el impacto inmediato es considerado "bajo", ya que OpenClaw en sí mismo no es un software malicioso y la instalación no activaba servicios críticos. Sin embargo, el hecho de que un tercero pudiera inyectar cualquier código en una herramienta utilizada por miles de desarrolladores representa una falla de seguridad crítica.
En respuesta al incidente, los desarrolladores de Cline han tomado las siguientes medidas:
Lanzamiento de la versión 2.4.0, que elimina el código no autorizado.
Revocación del token comprometido y depreciación de la versión 2.3.0.
Migración a OIDC (OpenID Connect) a través de GitHub Actions para eliminar el uso de tokens persistentes y tradicionales, aumentando la seguridad en futuras publicaciones.
El despertar de la seguridad en IA
Expertos del sector, como Chris Hughes de Zenity, advierten que este caso transforma el riesgo de la IA de algo "teórico" a una "realidad operativa". La capacidad de influir en una línea de producción de software mediante un simple título de un reporte de error subraya la necesidad urgente de tratar a los agentes de IA como actores privilegiados que requieren una gobernanza estricta.
Recomendación para desarrolladores: Se insta a todos los usuarios de Cline CLI a actualizar inmediatamente a la versión 2.4.0 y verificar si el paquete openclaw fue instalado sin su consentimiento en sus entornos locales, procediendo a su eliminación si no es requerido.