GitHub issue başlıkları kullanılarak 4.000 geliştirici makinesi enfekte edildi

• Başlığa yerleştirilen prompt injection, Cline’ın yapay zeka tabanlı issue sınıflandırma botu üzerinden komut enjeksiyonu yaptı
• npm token’ları çalındı ve kötü amaçlı bir Cline sürümü dağıtılarak OpenClaw yapay zeka ajanı izinsiz kuruldu
• Saldırganlar, prompt injection → yapay zeka botunda keyfi kod çalıştırma → cache poisoning → kimlik bilgilerinin çalınması → kötü amaçlı paket dağıtımı şeklinde 5 aşamalı bir zincir kurdu
• Mevcut güvenlik kontrolleri (code review, npm audit, provenance attestations) bu saldırıyı tespit edemedi
• Bir güvenlik araştırmacısı zafiyeti 2025 Aralık sonunda bulup bildirdi, ancak 5 hafta boyunca yanıt alamadı; kamuya açıklandıktan sonra da kimlik bilgisi rotasyonundaki hata nedeniyle saldırı gerçekleşti
• Yapay zeka ajanının başka bir yapay zeka ajanı kurduğu yeni bir tedarik zinciri tehdidi modeli ortaya çıktı ve CI/CD ortamlarındaki yapay zeka otomasyonunun risklerini öne çıkardı

Saldırıya genel bakış

• 17 Şubat 2026’da npm’e cline@2.3.0 yayımlandı; önceki sürümle aynı binary’ye sahipti, ancak package.json dosyasına "postinstall": "npm install -g openclaw@latest" satırı eklendi
  • Bunun sonucunda, 8 saat içinde Cline’ı kuran veya güncelleyen yaklaşık 4.000 geliştiricinin sistemine OpenClaw otomatik olarak kuruldu
• OpenClaw, tam sistem erişim yetkisine sahip ayrı bir yapay zeka ajanı ve kullanıcının onayı olmadan global olarak kuruldu

Saldırı zinciri (Clinejection)

• Aşama 1: Prompt injection
  • Cline, Anthropic’in claude-code-action aracını kullanan bir yapay zeka issue sınıflandırma workflow’u kullanıyordu
  • allowed_non_write_users: "*" ayarı nedeniyle herkes issue açıp botu tetikleyebiliyordu
  • Saldırgan 28 Ocak’ta, performans raporu gibi görünen ve içine “belirli bir paketi kur” komutu gizlenmiş bir başlığa sahip Issue #8904’ü oluşturdu
• Aşama 2: Yapay zeka botunun komutu çalıştırması
  • Claude bu komutu meşru bir talimat olarak algıladı ve saldırganın fork’unda (glthub-actions/cline) npm install çalıştırdı
  • Bu fork’un package.json dosyasında uzak bir shell script çalıştıran bir preinstall script bulunuyordu
• Aşama 3: Cache poisoning
  • Script, GitHub Actions cache’ini zehirleyen Cacheract’ı dağıttı
  • 10 GB’tan fazla veri enjekte ederek meşru cache’i dışarı itti ve Cline’ın nightly release workflow’unun kullandığı cache anahtarını taklit etti
• Aşama 4: Kimlik bilgilerinin çalınması
  • Release workflow’u zehirlenmiş cache’ten node_modules geri yüklerken NPM_RELEASE_TOKEN, VSCE_PAT, OVSX_PAT çalındı
• Aşama 5: Kötü amaçlı paket dağıtımı
  • Saldırgan çaldığı npm token’ı ile cline@2.3.0 sürümünü yayımladı
  • StepSecurity’nin izleme sistemi 14 dakika sonra anomaliyi tespit etti ve paket 8 saat sonra kaldırıldı

Müdahaledeki başarısızlık ve sonraki adımlar

• Güvenlik araştırmacısı Adnan Khan, zafiyeti 2025 Aralık’ta keşfedip 1 Ocak 2026’da GitHub Security Advisory üzerinden bildirdi, ancak 5 hafta boyunca yanıt alamadı
• Khan 9 Şubat’ta kamuya açık ifşaya gidince, Cline 30 dakika içinde yapay zeka triage workflow’unu kaldırarak yamayı uyguladı
• Ertesi gün kimlik bilgilerini rotasyona sokmaya başladı, ancak yanlış token’ları sildi ve açığa çıkan token’lar aktif kalmaya devam etti
  • 11 Şubat’ta hata fark edilip yeniden rotasyon yapıldı, ancak saldırgan o sırada kimlik bilgilerini zaten ele geçirmişti
  • npm token’ı, 6 gün sonra kötü amaçlı paketi yayımlamaya yetecek kadar uzun süre geçerli kaldı
• Khan saldırgan değildi — Khan’ın test deposundaki PoC’yi keşfeden ayrı ve kimliği bilinmeyen bir aktör bunu doğrudan Cline’a karşı silahlandırdı

Yapay zekanın yapay zeka kurduğu yeni model

• Bu olayda bir yapay zeka aracının başka bir yapay zeka ajanı kurması, tedarik zincirinde özyinelemeli bir güven problemi yarattı
  • Geliştirici Tool A’ya (Cline) güvenir → Tool A ele geçirilir ve Tool B’yi (OpenClaw) kurar
    → Tool B, Tool A’dan bağımsız kendi yeteneklerine (shell çalıştırma, kimlik bilgilerine erişim, kalıcı daemon kurulumu) sahiptir ve geliştiricinin ilk güven kararında görünmez
• OpenClaw, ~/.openclaw/ içinden kimlik bilgilerini okuyabiliyor, Gateway API üzerinden shell komutu çalıştırabiliyor ve yeniden başlatma sonrasında da kalacak kalıcı bir sistem daemon’u olarak kendini kurabiliyor
• Endor Labs bunu kavram kanıtı seviyesinde bir payload olarak değerlendirdi; ancak asıl önemli olan mekanizmanın kendisi ve bir sonraki payload muhtemelen PoC olmayacak
• Bu, Confused Deputy probleminin tedarik zinciri versiyonu: geliştiricinin verdiği yetkinin üçüncü bir ajana devredilmesi
  • Geliştirici Cline’a vekâlet yetkisi verir, Cline da (ele geçirilme yoluyla) bu yetkiyi geliştiricinin hiç değerlendirmediği, yapılandırmadığı veya onaylamadığı tamamen ayrı bir ajana devreder

Mevcut güvenlik kontrolleri neden başarısız oldu

• npm audit: postinstall script’inin kurduğu şey meşru ve kötü amaçlı olmayan bir paket (OpenClaw) olduğundan tespit edilecek bir zararlı yazılım yoktu
• Code review: CLI binary’si önceki sürümle byte düzeyinde aynıydı; yalnızca package.json içinde tek satırlık bir değişiklik vardı, bu yüzden binary değişikliklerine odaklanan otomatik diff kontrolleri bunu yakalayamadı
• Provenance attestation: Cline o sırada OIDC tabanlı npm provenance kullanmadığı için, ele geçirilmiş token ile provenance metadata’sı olmadan dağıtım yapılabildi
  • StepSecurity bunu anomali olarak işaretledi
• İzin istemleri: Kurulum, npm install sırasında bir postinstall hook’unda gerçekleştiği için bağımlılık lifecycle script’leri çalışmadan önce kullanıcıdan onay isteyen bir yapay zeka kodlama aracı yoktu; bu yüzden manipülasyon görünmez kaldı
• Geliştiricinin kurduğunu sandığı şey (Cline’ın belirli bir sürümü) ile gerçekte çalışan şey (paketin keyfi lifecycle script’leri ve transitif kurulumlar) arasındaki boşluk istismar edildi

Cline’ın olay sonrası adımları

• Post Mortem’de açıklanan iyileştirmeler
  • Kimlik bilgileri işleyen workflow’larda GitHub Actions cache kullanımının kaldırılması
  • npm dağıtımı için OIDC provenance attestation eklenmesi ve uzun ömürlü token’ların kaldırılması
  • Kimlik bilgisi rotasyonu için doğrulama gereksinimleri eklenmesi
  • SLA içeren resmi bir zafiyet açıklama süreci oluşturma çalışmalarının başlatılması
  • CI/CD altyapısı için üçüncü taraf güvenlik denetimi talep edilmesi
• Yalnızca OIDC geçişi bile bu saldırıyı engelleyebilirdi
  • Çalınan token’lar, belirli bir GitHub Actions workflow’unun kriptografik kanıtını gerektiren bir provenance düzeninde paket yayımlayamazdı

Yapısal sorun ve çıkarılan dersler

• Clinejection hem bir tedarik zinciri saldırısı hem de ajan güvenliği problemi
  • Saldırının giriş noktası, GitHub issue başlığındaki doğal dil girdisiydi ve yapay zeka botu bunu komut olarak çalıştırdı
• Bu, MCP araç kirlenmesi veya ajan beceri kayıt defteri saldırıları ile aynı yapıya sahip
  • Güvenilmeyen girdi ajana ulaşır → ajan harekete geçer → ortaya çıkan işlemi çalıştırmadan önce değerlendiren hiçbir merci yoktur
• Bu vakada ajan, geliştiricinin yerel kodlama asistanı değil; her yeni issue’da çalışan, shell erişimi ve cache’lenmiş kimlik bilgileri olan otomatik bir CI workflow’uydu
  • Patlama yarıçapı tek bir geliştiricinin makinesi değil, projenin tüm dağıtım hattıydı
• CI/CD’ye yapay zeka ajanı yerleştiren tüm ekipler (issue triage, code review, otomatik test vb.) aynı riskle karşı karşıya
  • Güvenilmeyen girdi ile secret erişiminin birleşmesi riskini kavramak gerekiyor
  • Ajan, güvenilmeyen girdileri (issue, PR, yorum) işlerken secret’lara (token, anahtar, kimlik bilgileri) erişebiliyor
• Syscall düzeyinde interception, bu tür saldırıları operasyon katmanında yakalayabilir:
  • Yapay zeka triage botu beklenmedik bir depoda npm install çalıştırmaya kalktığında, issue başlığının içeriğinden bağımsız olarak politika temelinde değerlendirme yapılabilir; lifecycle script’leri dış host’lara kimlik bilgisi sızdırmaya çalıştığında ise egress engellenebilir