笑死，4000名开发者被强装 openclaw

Qingwa · 2026-03-07T14:47:42.190Z

2026年2月17日，有人向 npm 发布了 cline@2.3.0。这个版本的 CLI 二进制文件与前作字节级一致，唯一的变化隐藏在 package.json 的一行代码里：
“postinstall”: "npm install -g openclaw@latest

在随后的 8 小时内，约 4000 名更新了 Cline 的开发者，在完全不知情的情况下，被强行安装了 OpenClaw

大概是这样的：

Cline 接入了 AI 处理 GitHub Issue。黑客发了个标题带 Prompt 的 Issue，诱导 AI 运行 npm install glthub-actions…（注意：这是个 i 的钓鱼链接）。
AI 反水：机器人没能识别出这是 Prompt，真把标题当成指令执行了。结果导致 Cline 官方的发布权限（Token）瞬间被窃取。
强行喂饭：黑客反手用 Token 发布了上述版本。

你说他到底是不是黑客吧

grith.ai – 5 Mar 26

A GitHub Issue Title Compromised 4,000 Developer Machines

A prompt injection in a GitHub issue triggered a chain reaction that ended with 4,000 developers getting OpenClaw installed without consent. The attack composes well-understood vulnerabilities into something new: one AI tool bootstrapping another.

NeverMind · 2026-03-07T15:16:01.125Z

还好不是恶意的，不然又是一起供应链投毒事件，这再次凸显出 pnpm 默认阻止 postinstall 脚本的正确性。