Cline CLI Supply Chain Angriff: OpenClaw landete unbemerkt auf 4.000 Entwicklermaschinen

Am 17. Februar 2026 hat jemand einen gestohlenen npm-Publish-Token genutzt, um cline@2.3.0 mit einer einzigen Änderung zu veröffentlichen: ein Postinstall-Script, das npm install -g openclaw@latest ausführte. Rund 4.000 Entwickler haben das Paket heruntergeladen, bevor das Cline-Team es acht Stunden später entfernte.

OpenClaw ist keine Malware. Aber wenn es ungefragt auf deinem System auftaucht, ist das trotzdem ein Problem.

Was genau passiert ist

Der Sicherheitsforscher Adnan Khan hatte zuvor die sogenannte "Clinejection"-Schwachstelle entdeckt. Eine Prompt-Injection-Lücke in Clines Claude Issue Triage GitHub Actions Workflow erlaubte es Angreifern, den NPM_RELEASE_TOKEN aus der CI-Pipeline zu extrahieren. Khan meldete die Schwachstelle verantwortungsvoll, und Cline rotierte die Tokens am 9. Februar.

Das Problem: Sie haben den falschen Token gelöscht. Der kompromittierte NPM_RELEASE_TOKEN blieb aktiv.

Acht Tage später nutzte ein anderer, unbekannter Akteur genau diesen Token, um das manipulierte Paket zu veröffentlichen. Das Angriffsfenster lief von 3:26 Uhr bis 11:30 Uhr Pacific Time. Cline widerrief den richtigen Token um 11:30 Uhr, veröffentlichte ein sauberes v2.4.0 und stellte den Incident Report online.

Warum die Einstufung "Low" ist

Das GitHub Advisory GHSA-9ppg-jx86-fqw7 stuft den Vorfall als "Low" ein. OpenClaw ist legitime Open-Source-Software. Der Gateway-Daemon (der weitreichende Systemberechtigungen bräuchte) wurde vom Postinstall-Script nie gestartet. In der Praxis lag OpenClaw also nur herum. Installiert, aber inaktiv.

Trotzdem: Eine unautorisierte globale Paketinstallation bleibt ein Supply-Chain-Verstoß. Nimm das ernst, auch wenn nichts aktiv ausgeführt wurde.

Was du jetzt tun solltest

Falls du Cline zwischen 3:26 Uhr und 11:30 Uhr PT am 17. Februar installiert oder aktualisiert hast:

1. Cline aktualisieren: cline update oder npm install -g cline@latest für Version 2.4.0
2. OpenClaw entfernen: npm uninstall -g openclaw
3. Prüfen: npm list -g openclaw sollte nichts mehr anzeigen

Wenn du OpenClaw bewusst über ClawHosters betreibst, betrifft dich das nicht. Deine Managed-Instanz ist isoliert und wurde vom npm-Vorfall nicht berührt. Für zusätzliche Sicherheit kannst du den OpenClaw Safety Scanner gegen deine Konfiguration laufen lassen.

Das größere Bild

Supply-Chain-Angriffe auf Developer-Tools nehmen zu. Dieser hier war vergleichsweise harmlos, weil OpenClaw echte Software ist und kein Credential-Stealer. Aber der Mechanismus (ein übrig gebliebener npm-Token nach einer unvollständigen Rotation) ist genau die Art Fehler, die beim nächsten Mal schlimmer enden kann. Wer OpenClaw ohne npm-Supply-Chain-Risiken betreiben will, kann mit Managed Hosting das Problem komplett umgehen.

Wenn du OpenClaw selbst hostest und das Berechtigungsmodell besser verstehen willst, erklärt unser Security Hardening Guide jede Angriffsfläche im Detail.