夜雨聆风
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
威胁人员可利用 Codex 处理任务创建请求的方式,通过授予 AI 代理的权限,横向移动到组织机构的 GitHub 环境中。
OpenAI Codex 是一款基于云的编程助手,直接连接到开发人员的 GitHub 仓库。当用户提交一个提示词时,Codex 就会启动一个管理容器来运行多项任务如代码生成或仓库分析。研究人员发现在该容器的设置阶段,系统未能正确清理输入。具体而言,HTTP POST 请求中的 GitHub 分支名称参数被直接传递给环境的设置脚本。攻击者可通过将 shell 命令注入分支名称的方式利用该漏洞。例如,恶意 payload 可强制系统将隐藏的 GitHub OAuth 令牌输出位刻度文本文件。接着攻击者可提示 Codex 代理读取该文件,从而将明文令牌直接暴露到 web 接口中。
而危险会扩散到本地开发者环境中。研究人员发现桌面 Codex 应用将认证凭据本地存储在一个认证文件中。如果攻击者获得对运行 Windows、macOS 或 Linux 的开发者机器的访问权限,则可窃取这些会话令牌。通过使用这些遭攻陷本地令牌在后端 API 进行认证,攻击者可检索用户的所有任务历史。
该后端访问权限还可导致攻击者提取隐藏在容器任务日志深处的 GitHub 访问令牌,同时攻击也可自动化,在无需与 Codex 接口进行交互的情况下攻陷多个用户。在一个 GitHub 共享仓库中直接创建恶意分支,可导致攻击者通过 Codex 在特定代码库中触发利用。
为了绕过 GitHub 用于拦截常规空格的分支-命名限制,攻击者可通过包含内部字段分隔符的 payload 替换这些空格。攻击者还可巧妙地利用 Unicode 表意空格将恶意载荷在用户界面上隐藏起来。对于毫无戒心的受害者而言,恶意分支看起来与标准的 main 分支完全一样。一旦用户或自动流程与之交互,则该 payload 会悄悄在后台执行,将自己的 GitHub 令牌发送给遭攻击者控制的外部分支。
这种自动化分支攻击同样适用于自动化拉取请求。当开发者在拉取请求中标记 Codex 机器人执行代码审查时,系统会启动代码审查容器。如果该仓库中包含该恶意命名的分支,自动化容器就会执行隐藏 payload,从而导致攻击者窃取具有更广权限的 GitHub 安装访问令牌。
该漏洞为“严重”等级,影响 ChatGPT 网站、Codex CLI、Codex SDK 和 Codex IDE 扩展。OpenAI 在2025年12月收到负责任的漏洞报告,并在2026年1月末修复该漏洞。
随着 AI 编程助手日益深度地融入开发者的工作流程,各组织机构必须将智能体容器视为严格的安全边界。
开发团队与安全团队应开展以下实践:
在将用户可控的所有输入传递给 shell 命令之前,对其进行清理。
永远不要认为外部提供商的数据格式本身是安全的。
审计授予 AI 应用的权限,严格执行最小权限原则。
监控代码仓库中是否出现包含 shell 元字符或 Unicode 空格的异常分支名称。
定期更换 GitHub 令牌,并检查访问日志中是否存在异常的 API 活动。
https://cybersecuritynews.com/openai-codex-command-injection-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
