Clinejection攻击：利用AI提示注入破坏GitHub Actions发布流程

安全研究员Adnan Khan发现针对Cline项目的攻击链，攻击者通过在GitHub仓库问题标题中注入恶意代码，利用其AI驱动的问题分类系统anthropics/claude-code-action@v1实现命令注入。该工具配置允许执行Bash、Read、Write等操作，而问题标题本身可包含可执行命令。攻击者通过npm install的preinstall脚本漏洞，结合GitHub Actions缓存机制，使用自研工具cacheract向缓存文件注入数据。由于Cline的issue分类流程与夜间发布流程共享缓存键（${{ runner.os }}-npm-${{ hashFiles('package-lock.json') }}），攻击者成功污染缓存并窃取NPM发布密钥。尽管攻击者仅在撤回的cline@2.3.0版本中植入OpenClaw安装代码，未实施更危险操作，但该案例揭示了AI驱动自动化工作流的潜在安全风险。