Webページを開くだけでPCを乗っ取られる — Clineに見つかったCVSS 9.7の欠陥

CVSS 9.7。脆弱性の深刻度としてはほぼ最高レベルだ。

4月末、セキュリティ企業Oasis SecurityがAIコーディング拡張Clineに重大な脆弱性を発見し、責任ある開示を経て5月に公開された。CVE-2026-44211。攻撃者が用意したWebページを被害者が開くだけで、開発マシンを完全に掌握できてしまう欠陥だ。

Clineはインストール数500万を超えるVS Codeの人気AI拡張。影響範囲は広い。

何が起きるのか

ClineにはKanbanサーバーという内部コンポーネントがある。タスク管理UIとAIエージェント間のリアルタイム通信を担当するWebSocketサーバーで、127.0.0.1:3484で待ち受ける。

問題は、このサーバーにセキュリティ制御が一切なかったこと。Originヘッダーの検証なし。認証トークンなし。CORS保護なし。接続元がCline自身なのか外部なのかを確認する仕組みがなかった。

このWebSocketは3つのエンドポイントを持つ。

Runtime — ファイルシステムのパス、タスクデータ、gitの履歴、AIエージェントとのチャット内容のスナップショットを送信する。Terminal — エージェントの擬似ターミナルへの双方向アクセスを提供し、入力バッファに直接書き込める。Control — セッションの管理と終了を制御する。

つまり、悪意あるWebサイトがこのサーバーに接続すると、開発者の作業環境からデータを抜き取り、ターミナルに任意のコマンドを注入し、AIエージェントのセッションを終了させることができる。ユーザーが気づく手段はほぼない。

今年2度目の重大インシデント

実はClineに重大な脆弱性が見つかったのは今年これが2回目だ。

2月には「Clinejection」と呼ばれるサプライチェーン攻撃が実際に成功している。ClineのGitHub Actionsで動いていたClaude AIのissueトリアージボットに、issueタイトル経由でプロンプトインジェクションを仕掛け、npmパッケージの公開プロセスを乗っ取った事件だ。

悪意あるバージョン cline@2.3.0 が8時間にわたってnpmに公開され、約4,000回ダウンロードされた。VS Code拡張自体は無事だったものの、CLIパッケージ経由で開発者のマシンにOpenClawが無断インストールされた。

1年に2回、これほどの問題が出るのは看過できない。

対策：今すぐやるべきこと

1. Clineをv0.1.66以上にアップデートする。 4月27日にパッチがリリースされている。VS Codeの拡張機能タブで更新を確認しよう。

2. 使っていないAI拡張を棚卸しする。 Clineに限らず、ローカルでサーバーを立てるタイプの拡張は同様のリスクを持ちうる。不要なものは無効化しておくべきだ。

3. ネットワーク監視を検討する。 127.0.0.1の特定ポートへの外部からの接続を監視できるツール（Little SnitchやWiresharkなど）で異常な通信を検出できる。

AIコーディングツールの「信頼コスト」

この事件が提起する本質的な問題がある。AIコーディングツールは生産性を上げるために、マシンへの広範なアクセスを必要とする。ファイルの読み書き、ターミナルの実行、ネットワーク通信。便利さと引き換えに、攻撃者から見た攻撃面が広がっている。

CursorやClaude Codeのようなスタンドアロン型は、拡張ベースよりもサンドボックス化がしやすい構造的優位がある。一方でVS Code拡張は、ホストOSのプロセスとしてほぼ無制限に動作するため、一箇所の欠陥が致命的になりやすい。

AIツールの選定基準に「セキュリティ設計」を加える時期に来ている。便利だから使う、ではなく、便利だからこそリスクを理解して使う。Clineの一件は、その教訓を2度にわたって突きつけた。