文章总结： BeyondTrust公司发现OpenAICodex存在严重命令注入漏洞，攻击者可通过恶意分支名称注入shell命令窃取GitHub访问令牌。该漏洞影响ChatGPT网站、CodexCLI等组件，已由OpenAI在2026年1月修复。建议开发团队清理用户输入、审计AI应用权限并监控异常分支名称。 综合评分： 85 文章分类： 漏洞分析,渗透测试,WEB安全,云安全,安全建设

OpenAI Codex 漏洞可导致攻击者窃取 GitHub 访问令牌

Abinaya Abinaya

代码卫士

2026年4月8日 18:14 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

BeyondTrust公司旗下的 Phantom 实验室最近在 OpenAI Codex 中发现了一个严重的命令注入漏洞，可导致攻击者窃取敏感的 GitHub 用户访问令牌。

威胁人员可利用 Codex 处理任务创建请求的方式，通过授予 AI 代理的权限，横向移动到组织机构的 GitHub 环境中。

命令注入利用

OpenAI Codex 是一款基于云的编程助手，直接连接到开发人员的 GitHub 仓库。当用户提交一个提示词时，Codex 就会启动一个管理容器来运行多项任务如代码生成或仓库分析。研究人员发现在该容器的设置阶段，系统未能正确清理输入。具体而言，HTTP POST 请求中的 GitHub 分支名称参数被直接传递给环境的设置脚本。攻击者可通过将 shell 命令注入分支名称的方式利用该漏洞。例如，恶意 payload 可强制系统将隐藏的 GitHub OAuth 令牌输出位刻度文本文件。接着攻击者可提示 Codex 代理读取该文件，从而将明文令牌直接暴露到 web 接口中。

而危险会扩散到本地开发者环境中。研究人员发现桌面 Codex 应用将认证凭据本地存储在一个认证文件中。如果攻击者获得对运行 Windows、macOS 或 Linux 的开发者机器的访问权限，则可窃取这些会话令牌。通过使用这些遭攻陷本地令牌在后端 API 进行认证，攻击者可检索用户的所有任务历史。

该后端访问权限还可导致攻击者提取隐藏在容器任务日志深处的 GitHub 访问令牌，同时攻击也可自动化，在无需与 Codex 接口进行交互的情况下攻陷多个用户。在一个 GitHub 共享仓库中直接创建恶意分支，可导致攻击者通过 Codex 在特定代码库中触发利用。

为了绕过 GitHub 用于拦截常规空格的分支-命名限制，攻击者可通过包含内部字段分隔符的 payload 替换这些空格。攻击者还可巧妙地利用 Unicode 表意空格将恶意载荷在用户界面上隐藏起来。对于毫无戒心的受害者而言，恶意分支看起来与标准的 main 分支完全一样。一旦用户或自动流程与之交互，则该 payload 会悄悄在后台执行，将自己的 GitHub 令牌发送给遭攻击者控制的外部分支。

窃取安装令牌

这种自动化分支攻击同样适用于自动化拉取请求。当开发者在拉取请求中标记 Codex 机器人执行代码审查时，系统会启动代码审查容器。如果该仓库中包含该恶意命名的分支，自动化容器就会执行隐藏 payload，从而导致攻击者窃取具有更广权限的 GitHub 安装访问令牌。

该漏洞为“严重”等级，影响 ChatGPT 网站、Codex CLI、Codex SDK 和 Codex IDE 扩展。OpenAI 在2025年12月收到负责任的漏洞报告，并在2026年1月末修复该漏洞。

随着 AI 编程助手日益深度地融入开发者的工作流程，各组织机构必须将智能体容器视为严格的安全边界。

• 开发团队与安全团队应开展以下实践：
• 在将用户可控的所有输入传递给 shell 命令之前，对其进行清理。
• 永远不要认为外部提供商的数据格式本身是安全的。
• 审计授予 AI 应用的权限，严格执行最小权限原则。
• 监控代码仓库中是否出现包含 shell 元字符或 Unicode 空格的异常分支名称。
• 定期更换 GitHub 令牌，并检查访问日志中是否存在异常的 API 活动。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

OpenAI 发布AI安全漏洞奖励计划

OpenAI 编程代理中高危漏洞可用于攻击开发人员

第三方供应商导致OpenAI客户数据遭泄露

看我如何通过 OpenAI o3 挖到 Linux 内核远程 0day

OpenAI 严重漏洞最高赏金提高至10万美元

原文链接

https://cybersecuritynews.com/openai-codex-command-injection-vulnerability/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《OpenAI Codex 漏洞可导致攻击者窃取 GitHub 访问令牌》