Cline CLI 2.3.0に混入した“OpenClaw”は何を突きつけたか——たった8時間・4,000 DLのサプライチェーン事案が示す現実

今日の深掘りポイント

• 「悪性ではない」モジュール混入でも、開発環境への“想定外のコード実行”はサプライチェーン攻撃の本質的リスクそのものです。
• 侵害されたのは配布経路（npm公開トークン）。一次被害は開発者端末、二次被害はCI/CDやクラウドへの横展開が現実的に成立します。
• 8時間・4,000ダウンロードという短時間・広拡散は、ロックファイルと署名／プロビナンス検証の“有無”で被害面積が桁違いになることを可視化します。
• 「AIアシスタント連携のCLI」が標的になった点は象徴的。開発環境に常駐しやすく、権限も広がりがちで、ヒトと自動化の境界が曖昧な層への攻撃は今後増えます。
• いま必要なのは“パッケージ衛生”だけではなく、発行トークンの最小化・短命化、CI/CDにおけるインストールスクリプト無効化、そして内部レジストリの厳格な許可制です。

はじめに

Cline CLIのバージョン2.3.0が、不正に発行されたnpm公開トークンを用いて差し替えられ、導入時にOpenClawがインストールされる事案が発生しました。公開は2026年2月17日で、約8時間の短い窓に4,000回超のダウンロードが観測されています。メンテナは速やかに最新版への更新を促し、OpenClaw自体は悪意あるソフトではないと説明されています。しかし、だからといって安心はできません。供給網の「信頼」を侵害し、開発環境で“意図しないコード”が実行された事実自体が、サプライチェーン攻撃の核心だからです。

本稿は公開報道にもとづく一次情報が限られる段階の分析ですが、CISO・SOC・Threat Intelの読者にとって、何を確認し、どこまで想定し、どの順で手を打つかを具体に落とし込みます。短時間・広範囲に広がりうるAI開発時代のサプライチェーン・インシデントの姿を、いまのうちに自社のコントロールへ写し取ることが肝要です。

参考情報（報道）

• The Hacker News: “Cline CLI 2.3.0 Supply Chain Attack Installs OpenClaw” https://thehackernews.com/2026/02/cline-cli-230-supply-chain-attack.html

深掘り詳細

事実整理（公開報道ベース）

• 2026年2月17日、Cline CLI 2.3.0が不正なnpm公開トークンでリリースされ、サプライチェーン攻撃が発生したと報じられています。約8時間の間に4,000回超ダウンロードされています。メンテナは最新バージョンへの更新を推奨しています。OpenClaw自体は悪性マルウェアではないと説明されています。The Hacker News
• 侵害の焦点は「配布トークンの悪用」であり、ユーザー環境側では「意図しないソフト（OpenClaw）の導入」という事後作用が発生しています。導入経路やスクリプトの詳細は現時点で限定的な公開に留まっています（筆者注：より詳細な一次情報が公開され次第、更新が必要です）。

インサイト（なぜ深刻か／何が新しいか）

• 「非悪性の混入」だから軽微、ではないです。サプライチェーンの本質は“実行経路の乗っ取り”です。導入フェーズで任意コードが（たとえ良性であっても）実行される設計・設定のままでは、次は悪性ペイロードに差し替わるだけです。今回は“検出の前兆”として捉えるべきです。
• 8時間・4,000DLという規模は、ロックファイル、レジストリ・ミラー、署名／プロビナンス検証の有無で影響半径が劇的に変わることを示します。たとえばCI/CDでは“ignore-scripts=true”“network sandbox”などの基本的なハードニングだけでも、被害の多段化を相当抑制できるはずです。
• AI開発時代のCLIは権限境界が広がりがちです。エージェントや補助ツールがVCS・Issue・Secrets・ローカルFSへ横断的に触れる設計が増え、混入時の“環境内可視性”が攻撃者に与えられがちです。たとえOpenClawが悪性でなくても、「何が導入され、どこへ接続し、何にアクセスできたか」はリスク評価の中心に据えるべきです。
• 供給側（パッケージ公開者）のトークンハイジーンが、これまで以上に最重要になっています。長寿命の公開トークン、2FA弱要件、CIの最小権限不徹底——いずれも“短時間でも広範”の事故に直結します。公開チャネルの守りは、最小権限・短命化・署名付与・自動ローテーションの4点セットが今後の当たり前になります。

脅威シナリオと影響

以下は現時点の公開情報を踏まえた仮説シナリオです。実際の手口は追加の一次情報で修正されうる前提で読んでください。

• シナリオA：公開トークンの奪取から依存関係汚染へ

  • 仮説
    • 攻撃者がnpm公開トークンを窃取（例：リポジトリやCIログの漏洩、フィッシング等）。
    • 改ざん版を正規名義で公開し、postinstall等のライフサイクルフックでOpenClawを導入。
    • 開発者端末で任意コードが実行され、端末内の認証情報・SSH鍵・クラウドCLI資格情報にアクセス可能となる余地。
  • ATT&CK（仮説マッピング）
    • Valid Accounts: T1078（公開トークンの悪用）
    • Supply Chain Compromise: T1195.001（依存関係・開発ツールの妥協）
    • User Execution: T1204（開発者によるインストール操作をトリガー）
    • Command and Scripting Interpreter: T1059（インストールスクリプト経由の実行）
    • Ingress Tool Transfer: T1105（外部からの追加ペイロード取得の可能性）

• シナリオB：開発環境からCI/CD・クラウドへの横展開

  • 仮説
    • 開発者端末で取得したアクセストークンやSSH鍵を利用し、VCSやCIに対する改ざん・不正ジョブ実行、ひいてはアーティファクト汚染へ波及。
  • ATT&CK（仮説マッピング）
    • Credential Access: T1552（平文・設定ファイル内の資格情報）
    • Trusted Relationship: T1199（開発環境とCI/CD間の信頼関係の悪用）
    • Exfiltration Over C2 Channel: T1041（外部送信が成立した場合）

• シナリオC：当座は良性、後出しで悪性に差し替え

  • 仮説
    • 今回は「良性モジュールの静かな導入」で検知回避し、しばらく後に別チャネル経由で悪性化という二段戦術のテストだった可能性。
  • ATT&CK（仮説マッピング）
    • Subvert Trust Controls: T1553（信頼の基盤を損なう）
    • Defense Evasion: T1027（難読化・目立たない動作設計）

影響評価の要点

• 初動影響は開発端末の想定外コード実行です。重要なのは“端末に何の権限が乗っていたか”。具体的にはGitHub/GitLabトークン、クラウドCLI資格情報、パッケージ公開用トークン、社内レジストリの書込み権限などです。
• 二次影響は、CI/CD・レジストリ・クラウド環境への横展開です。今回のように短時間で広く当たるケースは、「横展開が成立する前にトークン全失効・網羅的ローテーション」をどれだけ迅速に回せるかがダメージを分けます。

セキュリティ担当者のアクション

“今日やること”と“今月中にやること”を分けて提示します。規模や成熟度に応じて優先順位を調整してください。

• 今日やること（インシデント対応）

  • 影響スコープ特定
    • 組織内でcline-cli@2.3.0の導入有無を棚卸（SBOM/資産DB/EDR/ソフトウェアインベントリ）。
    • 端末側確認例（開発者向け周知用の簡易セルフチェック）
      • npm list -g --depth=0 | grep -i cline
      • npm list --depth=0 | grep -i cline（プロジェクトローカル）
      • npm list -g --depth=0 | grep -i openclaw（OpenClaw混入の有無）
  • 是正
    • cline-cliの最新版へ即時更新。不要ならアンインストール。
    • OpenClawが存在すれば削除。導入経路と時刻をメモ（後続の相関分析用）。
  • 資格情報の先回り無効化
    • 開発端末に紐づくNPM公開トークン、VCSトークン、CI/CD用トークン、SSH鍵、クラウドCLI資格のローテーション。期限の短い順ではなく“権限の広い順”に優先。
  • 監視とハンティング
    • 該当期間（2/17の8時間窓＋前後24〜48時間）のプロキシ/DNS/EDRで、npm install時の外部取得や見慣れないNode子プロセス生成を横断検索。
    • VCS監査ログで、その期間に異常なトークン使用やパイプライン実行がないかを確認。

• 今週やること（恒久対策の前倒し）

  • CI/CD強化
    • CIではnpm/yarn/pnpmのインストールスクリプトをデフォルト無効化（例：npm ci時にignore-scripts=true）。必要箇所だけピンポイントで許可。
    • すべてのビルドでバージョン固定（lockfile厳守）。ロック外解決を禁止するポリシー化。
  • パッケージ信頼の担保
    • 署名・プロビナンスの検証を導入（Sigstore等の検証、npmのプロビナンス機能が使えるなら“必須”化）。
    • 内部レジストリ／プロキシ（Artifactory/Nexus等）での許可リスト運用。新規パッケージはセキュリティ審査経由。
  • トークンハイジーン
    • 公開用トークンは“最小権限・短命・自動ローテーション”。可能なら長寿命トークンは廃止し、OIDC等の短命発行へ。
    • 発行・使用の監査可能性を担保（誰が、いつ、どこで使ったか）。異常検出ルールをSOCで実装。
  • 開発端末ガードレール
    • Egress制御（開発ネットワークのインストール時外向き通信を限定）。新規ドメインへの初回接続はアラート。
    • 秘匿情報管理（環境変数・設定ファイルの平文資格情報排除、秘密情報スキャナの常時運用）。

• 今月中にやること（ガバナンス・演習）

  • サプライチェーン規程の改定
    • OSS採用・更新・公開のRACIとSLAを明文化。重大依存の更新はステージングでのサンドボックス実行と検証を義務化。
  • レッドチーム／演習
    • 「改ざんパッケージが流入したら」をテーマに、開発→CI→本番までの横展開阻止の机上演習と技術演習を分けて実施。
  • 可観測性の底上げ
    • ソフトウェアBOM（SBOM）をCI産出物として標準化。資産・脆弱性管理台帳と相互参照できる運用を確立。

最後に——今回、OpenClawは“悪性ではない”と報じられています。しかし、私たちが守るべきは「機能」よりも「信頼の連鎖」です。開発者が“いつも通りの更新”をしただけで、意図しないコードが走る——その連鎖を断ち切る具体策を、今日から積み上げていくことが肝心です。次は8時間ではなく、もっと短いかもしれません。だからこそ、準備はいまから始めるべきです。

参考情報

• The Hacker News: “Cline CLI 2.3.0 Supply Chain Attack Installs OpenClaw” https://thehackernews.com/2026/02/cline-cli-230-supply-chain-attack.html