Brief IA
✦ Tout🤖 Modèles & LLM🛠️ Outils IA🔬 Recherche💼 Business⚖️ Régulation🎨 IA Créative💻 Code & Dev💡 Cas d'usage
Brief IA : Cline : une injection de prompt expose ses releases
💻 Code & Dev

Cline : une injection de prompt expose ses releases

Brief IA
Tom Levy·2 min·2 vues

Adnan Khan a décrit une attaque par injection de prompt contre le dépôt GitHub de Cline, exploitant un triage de problèmes alimenté par l'IA via l'action anthropics/claude-code-action@v1. Cette attaque permettait de tromper Claude pour exécuter des commandes malveillantes en utilisant des titres de problèmes, bien que les dommages soient limités par l'absence d'accès à des secrets critiques pour les publications sur NPM.

En bref
1Adnan Khan a révélé une attaque par injection de prompt ciblant le dépôt GitHub de Cline, exploitant le triage de problèmes automatisé.
2L'attaque a permis d'exécuter des commandes malveillantes via des titres de problèmes, compromettant potentiellement les workflows de publication.
3Une contamination de cache a permis de voler des secrets critiques, entraînant la publication non autorisée de cline@2.3.0.
💡Pourquoi c'est importantCette faille expose les risques liés à l'automatisation des workflows, soulignant la nécessité de sécuriser les processus de développement logiciel.
Le brief IA que lisent les pros

Le brief IA que les pros lisent chaque soir

Les 7 actus IA du jour, décryptées en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Une attaque sournoise via GitHub

Adnan Khan a mis en lumière une méthode d'attaque ingénieuse contre le dépôt GitHub de Cline, exploitant une vulnérabilité dans le triage de problèmes automatisé. L'attaque commence par une injection de prompt dans le titre d'un problème ouvert, ciblant l'action anthropics/claude-code-action@v1 utilisée par Cline pour gérer les problèmes.

Cette action était configurée pour exécuter Claude Code avec des outils autorisés comme "Bash, Read, Write, ..." chaque fois qu'un problème était ouvert. Le prompt incluait le titre du problème, permettant ainsi à un attaquant de manipuler Claude pour exécuter des commandes arbitraires.

Exploitation des workflows et des caches

L'attaque exploitait un titre de problème conçu pour inciter à l'exécution de commandes malveillantes, telles que l'installation d'un package via npm install. Ce package pouvait ensuite exécuter du code malveillant grâce à un script "preinstall" dans son fichier package.json.

Bien que le workflow de triage de problèmes n'ait pas accès à des secrets critiques, une faille dans la gestion des caches de GitHub a été exploitée. Les caches dépassant 10 Go sont évincés, et l'attaquant a utilisé le package cacheract pour remplir les caches existants avec 11 Go de données inutiles, les évincant et créant de nouveaux caches contenant un mécanisme de vol de secrets.

Contamination de cache et publication non autorisée

Les caches de GitHub Actions peuvent partager des noms identiques entre différents workflows. Dans le cas de Cline, le triage de problèmes et le workflow de publication nocturne partageaient la même clé de cache pour leur dossier node_modules. Cela a permis à une injection de prompt réussie de contaminer le cache, qui a ensuite été utilisé par le workflow de publication nocturne.

Cline n'a pas réussi à traiter rapidement le rapport de bogue divulgué de manière responsable et a été exploité. Cette faille a conduit à la publication non autorisée de cline@2.3.0 par un attaquant anonyme. Heureusement, l'attaquant s'est limité à ajouter l'installation d'OpenClaw au package, sans actions plus dangereuses.

À lire ensuite

Commentaires