OpenAICodex漏洞允许攻击者窃取GitHub访问令牌

admin
admin
admin
0
文章
0
评论
2026-04-13 07:13:09 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: BeyondTrust旗下PhantomLabs在OpenAICodex中发现严重命令注入漏洞,攻击者可通过恶意分支名称注入shell命令窃取GitHubOAuth令牌与安装令牌,影响包括ChatGPT网站、CLI、SDK及IDE扩展。该漏洞已由OpenAI于2026年1月底修复,建议开发团队对用户输入严格清理、审核AI应用权限、监控异常分支名称并定期轮换令牌。 综合评分: 87 文章分类: 漏洞分析,AI安全,Web安全,应用安全,安全建设

cover_image

OpenAI Codex漏洞允许攻击者窃取GitHub访问令牌

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月7日 19:12 北京

AI编码代理的集成给开发团队带来了新的、影响巨大的攻击面。

BeyondTrust旗下的Phantom Labs最近在OpenAI Codex中发现了一个严重的命令注入漏洞。该漏洞允许攻击者窃取敏感的GitHub用户访问令牌。

通过利用 Codex 处理任务创建请求的方式,威胁行为者可以利用授予 AI 代理的确切权限,横向移动到组织的 GitHub 环境中。

命令注入漏洞利用

OpenAI Codex 是一个基于云的编码助手,可以直接连接到开发者的 GitHub 代码库。

当用户提交提示时,Codex 会启动一个托管容器来运行代码生成或存储库分析等任务。

BeyondTrust 的研究人员发现,在容器设置阶段,系统未能正确清理输入。

具体来说,HTTP POST 请求中的 GitHub 分支名称参数直接传递到环境的设置脚本中。

攻击者可以通过在分支名称中注入 shell 命令来利用此漏洞。例如,恶意载荷可以强制系统将隐藏的 GitHub OAuth 令牌输出到一个可读的文本文件中。

攻击者随后可以指示 Codex 代理读取该文件,从而直接在 Web 界面中暴露明文令牌。

这种危险不仅限于网络门户,还蔓延到了本地开发者环境。研究人员发现,桌面版 Codex 应用程序会将身份验证凭据存储在本地的身份验证文件中。

如果攻击者获得了对运行Windows、macOS 或 Linux的开发人员机器的访问权限,他们就可以窃取这些本地会话令牌。

攻击者利用这些被盗用的本地令牌对后端 API 进行身份验证,即可获取用户的完整任务历史记录。

通过这种后端访问权限,他们能够提取隐藏在容器任务日志深处的 GitHub 访问令牌。此外,该攻击还可以自动化,无需与 Codex 界面交互即可入侵多个用户。

攻击者可以通过在共享的 GitHub 存储库中直接创建恶意分支,对使用该特定代码库的 Codex 用户触发漏洞利用。

为了绕过 GitHub 的分支命名限制(该限制会阻止标准空格),攻击者将空格替换为包含内部字段分隔符的有效载荷。

他们还巧妙地利用Unicode表意空间将恶意代码隐藏在用户界面之外。对于毫无戒心的受害者来说,恶意分支看起来与标准主分支完全相同。

一旦用户或自动化进程与它交互,有效载荷就会在后台静默执行,将他们的 GitHub 令牌发送到攻击者控制的外部服务器。

窃取安装令牌

这种自动化分支攻击也适用于自动化拉取请求。当开发者标记 Codex 机器人对拉取请求进行代码审查时,系统会启动一个代码审查容器。

 如果存储库包含恶意命名的分支,则自动容器将执行隐藏的有效载荷,从而允许攻击者窃取更广泛的 GitHub 安装访问令牌。

该漏洞被评为严重级别,并影响ChatGPT 网站、Codex CLI、Codex SDK 和 Codex IDE 扩展。

OpenAI 于 2025 年 12 月收到负责任的披露,并在 2026 年 1 月底之前完全修复了该问题。

随着 AI 编码助手深入融入开发人员的工作流程,组织必须将代理容器视为严格的安全边界。

开发和安全团队应遵循以下做法:

  • 在将所有用户可控输入传递给 shell 命令之前,对其进行清理。
  • 永远不要认为外部提供商的数据格式本质上是安全的。
  • 审核授予人工智能应用程序的权限,以强制执行严格的最小权限原则。
  • 监控代码库,查找包含 shell 元字符或 Unicode 空格的异常分支名称。
  • 定期轮换 GitHub 令牌,并检查访问日志以发现异常 API 活动。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《OpenAI Codex漏洞允许攻击者窃取GitHub访问令牌》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0