系统:运行中
← 返回所有攻击
AGENTS CRITICAL NEW

Cline 的 Hub 仪表盘:本地回环再次被误当作身份验证

2026 年 7 月 8 日的公告显示,Cline 的 Hub 仪表盘暴露了一个本地 WebSocket,既不校验 Origin,默认也不设置共享密钥——这是 Cline 两个月内的第二个跨源 WebSocket 漏洞。

2026-07-16 // 5 min affects: cline, ai-coding-agents, local-agent-servers, mcp

这是什么?

2026 年 7 月 8 日,Cline 项目发布了一份关于其 Hub 仪表盘 的安全公告——即 3.0.30 之前版本中由 cline dashboard 命令启动的本地服务器。该仪表盘在 127.0.0.1:8787/browser 上暴露了一个 WebSocket 端点,供基于浏览器的界面与桌面代理通信。缺陷在于:服务器在 WebSocket 握手时从不校验 HTTP Origin 头,而本应保护该通道的共享密钥在本地绑定时默认未设置。其后果是:开发者只要访问一个恶意网页,就会在其机器上触发任意命令执行。

这是 Cline 在大约两个月内披露的第二个跨源 WebSocket 问题,前一个出现在其 Kanban 服务器。真正值得关注的是这种重复:回环绑定一再被当作身份验证边界,而它并不是。

工作原理

浏览器允许 跨源 WebSocket 连接。阻止跨站 fetch 读取的同源策略并不会阻止 evil.example 上的页面打开 ws://127.0.0.1:8787/browser。这是 Web 平台的既定行为,也正因如此,本地服务必须自行校验 Origin 头。

Hub 仪表盘将这一判断交给一个名为 isAuthorizedBrowserRequest() 的函数。当环境变量 ROOM_SECRET 未设置时——本地 127.0.0.1 绑定的默认情形——该函数无条件返回真。每一个到来的连接都被当作来自合法的仪表盘标签页而被接受。攻击者随后发送 desktopCommand 帧,读取工作区和会话状态、改写 Model Context Protocol(MCP)服务器配置,并修改 AI 提供方与模型设置。

通向代码执行的一步来自第二个默认设置:仪表盘会话对所有工具都以 autoApprove: true 运行。一旦配置了提供方或模型,注入的命令便会在没有任何人工批准步骤的情况下执行。两个「默认安全」的假设——回环可信、工具自动批准——组合成一条完整的远程代码执行路径。

为什么重要

本地代理服务器正成为 AI 编码技术栈的标准组成部分,每一个监听回环的服务都继承了完全相同的暴露面。开发者只需运行着仪表盘、然后正常上网即可;恶意页面无需任何凭据或事先访问权限。由于作用域从浏览器源变为开发者的桌面账户,影响半径涵盖源代码、以提供方密钥形式存储的云凭据,以及代理工具所能触及的一切。

此次披露正值 2026 年 7 月针对编码代理的一连串类似发现之中,其共同点是一个本地绑定的服务假定回环接口构成信任边界。它并不是:浏览器加载的任何源都可以向其发送流量。

防御

  • 升级到 Cline 3.0.30 或更高版本。 修复通过新的 isAuthorizedBrowserToDesktopRequest 检查加入了主机与 Origin 校验,并使用 Node net 模块的 isIP 来限制被接受的主机。
  • 在启动仪表盘前设置强 ROOM_SECRET(若必须运行旧版本),使授权检查强制使用共享密钥,而非信任每一个连接(export ROOM_SECRET="$(openssl rand -hex 32)")。
  • 不要在同一主机上一边浏览不受信任的站点一边运行仪表盘,也不要让其无人值守地持续运行。
  • 对每个本地 WebSocket 校验 Origin,并将回环视为不可信。 拒绝源与预期本地 UI 不匹配的握手;不要把 127.0.0.1 绑定当作身份验证。
  • 重新审视一刀切的自动批准。 能够执行命令的工具调用不应默认为 autoApprove: true;对重要操作保留人工把关。
  • 轮换 在运行易受攻击版本期间配置的提供方 API 密钥与 MCP 凭据,并留意在浏览器活动后不久启动 shell 的代理进程。

状态

项目
参考编号CVE-2026-59723 / GHSA-3cj3-hqcr-g934
受影响Cline Hub 仪表盘,v3.0.30 之前的 CLI/SDK/IDE 扩展
根本原因缺少 Origin 校验 + ROOM_SECRET 默认未设置(CWE-346)
严重程度CVSS 8.8(高);EPSS 约 0.14%;不在 CISA KEV 中
修复版本Cline CLI v3.0.30
发布2026 年 7 月 8 日(NVD)

关键日期:2026 年 7 月 8 日——公告与 NVD 发布。修复随 Cline CLI v3.0.30 发布。相关的前置问题:上个月披露的 Cline Kanban 跨源 WebSocket 漏洞。

Sources