Da tusenvis av utviklere startet arbeidsdagen sin 17. februar 2024, hadde ett av verktøyene de stolte mest på allerede vært kompromittert i flere timer. Angriperen hadde kapret en npm-vedlikeholdstokens tilgangsrettigheter til det populære AI-kodingsverktøyet Cline og publisert en ondsinnet versjon – versjon 2.3.0 – som ved installasjon hentet ekstern kode og åpnet for spredning av AI-agenten OpenClaw. Pakken lå live i om lag åtte timer før den ble fjernet, ifølge Enterprise Security Tech.
Hendelsen er ikke et isolert tilfelle av kreativ hacking. Den er et symptom på et dypere problem: kappløpet om å lansere AI-produkter raskest mulig har gjort sikkerhet til et ettertanke.
En varslet katastrofe
Angrepet var ikke uforutsett. Sikkerhetsforsker Adnan Khan hadde allerede 1. januar 2024 privat varslet om en konkret prompt injection-sårbarhet i Cline. 7. februar offentliggjorde han et «proof of concept» som demonstrerte hvordan automatiserte arbeidsflyter i verktøyet kunne misbrukes. Ti dager senere slo angriperen til – og brukte nøyaktig den teknikken Khan hadde beskrevet.
Angriperen kapret en vedlikeholdstokens rettigheter og publiserte den ondsinnede versjonen 2.3.0 klokken 03:26 PT. Installasjonsskriptet inneholdt en preinstall-hook som hentet ekstern kode, noe som potensielt muliggjorde stjeling av legitimasjon via GitHub Actions. Clines vedlikeholdere bekreftet hendelsen i en offentlig advisory og fjernet pakken, men det er ikke dokumentert noen spesifikk sikkerhetsoppdatering utover dette, ifølge gjennomgang av tilgjengelige rapporter per tidlig 2026.
Angriperen trengte ikke å bryte seg inn i Clines kode. Det holdt å lure AI-agenten til å gjøre jobben selv.
Prompt injection: AI-sikkerhetens største åpne sår
Angrepet bygger på det OWASP rangerer som den største sikkerhetsrisikoen for LLM-baserte applikasjoner i 2025: prompt injection (LLM01:2025). Teknikken er konseptuelt enkel, men praktisk sett svært vanskelig å forsvare seg mot.
Skjulte instruksjoner legges inn i tekst som en AI-agent leser og behandler – en nettside, et dokument, en e-post eller en kodepakke. Agenten kan ikke konsekvent skille mellom legitime brukerkommandoer og ondsinnede direktiver, og utfører dem dermed som om de kom fra brukeren selv.
Dette er ikke lenger hypotetisk. I juni 2025 ble EchoLeak (CVE-2025-32711, CVSS 9.3 Kritisk) oppdaget i Microsoft 365 Copilot: et null-klikks angrep via spesiallaget e-post som eksfiltrerte chat-logger, OneDrive-filer, SharePoint-innhold og Teams-meldinger – uten at brukeren behøvde å gjøre noe som helst. Samme måned ble Supabase Cursor-agenten kompromittert da injisert SQL i support-tickets ble prosessert av en agent med privilegert tilgang, og sensitive integrasjonstokens endte opp i offentlige tråder.
Analyser av ClawHub – markedsplassen for OpenClaw-skills – viser at 36 prosent av 3 984 analyserte agent-skills er sårbare, og at 76 er bekreftet ondsinnede. Av disse bruker 91 prosent prompt injection kombinert med skadelig kode, og samtlige inneholder eksekverbar kode, ifølge Snyk-analyse gjengitt av VirusTotal.
OpenClaw: Mer enn en nyttig assistent
For å forstå alvoret i Cline-hendelsen, må man forstå hva OpenClaw faktisk er i stand til.
OpenClaw er en open-source AI-agent designet for lokal kjøring på Mac, Windows, Linux og enkortmaskiner som Raspberry Pi. Den kan lese og skrive filer, kjøre shell-kommandoer og skript, kontrollere nettleseren autonomt, fylle ut skjemaer, ekstrahere data og kommunisere på tvers av meldingstjenester som WhatsApp, Telegram, Discord, Slack, iMessage og Signal. Den kobler seg til skytjenester som Anthropic Claude, OpenAI og Google, eller til lokale modeller via Ollama og LM Studio.
Agenten lagrer persistent minne som lokale Markdown-filer – inkludert AGENTS.md, SOUL.md og MEMORY.md – og kan planlegge automatiserte oppgaver via en «heartbeat»-daemon. Den husker brukerpreferanser, historikk og mønstre på tvers av sesjoner.
For en legitim bruker er dette kraftige funksjoner. For en angriper som har fått agenten installert uten brukerens kunnskap, er det et komplett angrepsrammeverk. Cisco beskriver OpenClaw som et «privacy nightmare» uten tilstrekkelige kontrollmekanismer, ifølge en analyse publisert på Ciscos AI-blogg. CrowdStrike anbefaler at sikkerhetsteam overvåker DNS-trafikk til openclaw.ai som et tegn på kompromitterte miljøer.
«Promptware»: En ny klasse skadelig programvare
Sikkerhetsforsker Christian Schneier og kollegaer beskriver i en ny analyse (2026) det de kaller «Promptware Kill Chain» – en strukturert angrepsmodell der prompt injection brukes akkurat som tradisjonell skadevare: innledende tilgang (for eksempel via en Google Calendar-invitasjon), rettighetseskalering, persistens, lateral bevegelse og til slutt eksfiltrering.
Den vesentlige forskjellen fra tradisjonell malware: angriperen trenger ikke å kompromittere kode. Det holder å lure AI-agenten.
Kasimir Schulz fra HiddenLayer Inc. uttaler ifølge The Verge at OpenClaw scorer høyt på alle tre av de mest alvorlige risikofaktorene i etablerte AI-risikovurderingsstandarder. Michael Freeman fra cybersikkerhetsfirmaet Armis hevder at OpenClaw ble «bygd i all hast uten tilstrekkelig vurdering av sikkerhet», og at firmaets kunder allerede er rammet. Begge disse uttalelsene kommer fra aktører med kommersielle interesser i sikkerhetsbransjen – noe som bør tas i betraktning – men funnene støttes av uavhengige analyser fra Snyk, VirusTotal og Cisco.
Kinesiske myndigheter ved departementet for industri og informasjonsteknologi skal ifølge The Verge ha utstedt en offisiell advarsel om at feilkonfigurert bruk av OpenClaw kan åpne for cyberangrep og datalekkasjer.
AI-agenter gis stadig mer tilgang til brukernes maskiner, filer og kommunikasjon. Angrepsflaten vokser tilsvarende – men sikkerhetsfundamentet henger systematisk etter.
Strukturelt problem, ikke enkelthendelse
Cline-hendelsen er ikke et engangstilfelle. Den er ett datapunkt i en akselererende trend. Et marked der 84 prosent av utviklere bruker AI-verktøy, der 42 prosent av all ny kode genereres av AI, og der autonome agenter gis root-tilgang til produksjonsmiljøer – er et marked som tilbyr angripere en stadig bredere angrepsflate.
Rapporter fra Deloitte og JetBrains understreker at AI-kodingsverktøy øker produktiviteten med gjennomsnittlig 3,6 timer spart per uke per utvikler. Men de samme rapportene dokumenterer at tung AI-bruk korrelerer med 17–23 prosent større pull requests og 20–30 prosent høyere sårbarhetstetthet i koden som produseres.
Cline-hendelsen viser at risikoen ikke bare ligger i koden AI-en skriver – men i AI-en selv, som et angrepsmål og som et angrepsverktøy. Å adressere det krever noe mer enn en rask npm-takedown.