Vulnerabilidades no agente Cline permitem RCE e vazamento por prompt injection | Riscos e Ameaças

Auditoria da Mindgard identificou quatro vulnerabilidades críticas no agente Cline (extensão VSCode) que permitem execução de código e exfiltração via repositórios comprometidos; mitigations foram aplicadas na versão 3.35.0 e organizações devem atualizar e restringir abertura de repositórios não confiáveis.

Auditoria do agente de código aberto Cline revelou quatro falhas críticas que possibilitam execução arbitrária de código e exfiltração de dados via repositórios comprometidos; exploração requer apenas abrir um repositório e solicitar análise.

Panorama e responsáveis pela descoberta

Pesquisadores da Mindgard analisaram o agente Cline (extensão VSCode) e identificaram quatro vulnerabilidades críticas que afetam uma base estimada em 3,8 milhões de instalações e mais de 52.000 estrelas no GitHub, segundo a matéria. As falhas permitem a execução de código e vazamento de informações ao analisar repositórios maliciosos.

Mecânicas de exploração

O conjunto de vulnerabilidades inclui vetores distintos:

Exfiltração via DNS: instruções escondidas em comentários de código que forçam a execução de comandos (por exemplo, ping) para enviar dados sensíveis em requisições DNS para servidores controlados pelo atacante.
.clinerules RCE: abuso do sistema de regras personalizadas do Cline colocando arquivos Markdown maliciosos em .clinerules que forçam execute_command com requires_approval=false, contornando consentimento do usuário.
TOCTOU (time‑of‑check/time‑of‑use): modificação de scripts entre verificações e execuções para introduzir código malicioso após a análise inicial.
Information leakage: mensagens de erro expõem a infraestrutura do modelo, revelando que o Sonic usa grok‑4.

Os pesquisadores informaram que a exploração requer apenas que um desenvolvedor abra um repositório comprometido e solicite análise pelo agente, sem necessidade de interação adicional além da abertura do projeto.

Resposta do projeto e estado atual

A equipe de desenvolvimento do Cline implementou mitigações na versão 3.35.0, incluindo detecções aprimoradas de prompt injection. Mindgard relata que as vulnerabilidades foram divulgadas ao fornecedor antes da publicação do relatório, mas a comunicação apresentou respostas atrasadas.

Impacto e recomendações

Devido ao amplo uso do Cline como agente de auxílio a desenvolvimento, as falhas representam um vetor de alto risco para exposições de chaves, variáveis de ambiente e execução silenciosa de comandos. Recomendações práticas extraídas da análise incluem:

Atualizar para a versão que contém mitigações (3.35.0) e validar bloqueios de execução automatizada.
Tratar repositórios não confiáveis como potencialmente hostis: evitar abertura direta em ambientes com credenciais sensíveis expostas.
Revisar configurações de aprovação para comandos que podem executar ações no host de desenvolvimento.
Inspecionar logs e sistemas de monitoramento em busca de comportamentos de rede incomuns (padrões de DNS suspeitos, pings para domínios externos).

Limitações

A matéria descreve as vulnerabilidades e a existência das correções, mas não publica exploits públicos ou métricas de incidentes em campo. Equipes devem considerar as provas de conceito como suficientes para priorizar atualizações e reduzir confiança em repositórios de terceiros.

Contexto de segurança de agentes LLM

O caso reforça que agentes que mesclam linguagem, execução de ferramentas e acesso a código demandam controles de segurança robustos: prompts e regras não são arquivos inofensivos, mas fronteiras críticas de segurança.