2026-06-18 06:03:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： DARKNAVY发现OpenAICodex桌面端存在高危未授权代码执行漏洞，攻击者可通过恶意构造的代码仓库诱导用户打开后静默触发代码执行，完全绕过默认权限限制。该漏洞影响最新版本且尚未修复，建议开发者谨慎处理未知来源项目。类似漏洞也曾出现在ClaudeCode中，反映AI编程工具普遍存在的安全风险。 综合评分： 83 文章分类： 漏洞分析,AI安全,解决方案,安全运营,威胁情报

cover_image

特别预警｜开发者请注意：使用OpenAI Codex 可能被攻击

原创

特别预警特别预警

DARKNAVY

2026年3月17日 20:07 上海

在小说阅读器读本章

去阅读

DARKNAVY 近日发现并报告了 OpenAI Codex 桌面端中一处严重的未授权代码执行漏洞。该漏洞绕过了 Codex 的默认权限限制，攻击者仅需诱导用户打开恶意构造的代码仓库/文件夹，即可在无需用户任何授权的情况下静默触发代码执行。该漏洞目前尚未修复，且社区已出现第三方复现案例，建议广大开发者与企业用户保持警惕，切勿随意打开未确认来源的代码仓库，以防源码等关键数据资产泄露。

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

DARKNAVY已关注

分享视频

，时长00:42

0/0

00:00/00:42

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

00:42

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

特别预警｜开发者请注意：使用OpenAI Codex 可能被攻击

观看更多

原创

特别预警｜开发者请注意：使用OpenAI Codex 可能被攻击

DARKNAVY已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

背景与生态威胁

随着 Vibe Coding 时代的到来，OpenAI Codex、Claude Code 等 AI Coding Agent 凭借其强大的自动化编程能力，已成为众多开发者高频使用的生产力工具。据 OpenAI 官方数据披露，Codex 的周活跃用户数已突破 200 万[1]。然而，伴随其市场渗透率的上升，此类 Agent 工具的自身安全机制正面临严峻挑战。

在近期公布的全球顶级黑客大赛 Pwn2Own 2026 规则中，首度增设了“Coding Agent”挑战类别，覆盖 Codex、Claude Code、Cursor 主流工具[2]。官方明确指出，攻击场景包含“通过与攻击者控制的网页、代码仓库或媒体文件交互以实现漏洞利用”，并为此类目标设立了数万美元的漏洞利用奖金。这一举措标志着 Coding Agent 的安全威胁已引起国际安全社区的高度关注。

Pwn2Own Berlin 2026 Coding Agent Category Targets

打破默认信任边界的“静默执行”

基于对AI安全的攻防实战和多年前沿安全对抗经验，DARKNAVY 团队在 OpenAI Codex 桌面应用中发现了一处高危漏洞。该漏洞的危险之处在于，它打破了当前 AI Agent 应用的安全预期：

安全机制绕过：在 Codex 的默认权限（Default Permission）模型下，任何涉及本地命令执行的操作，通常都会触发系统弹窗并经过用户的明确点击允许。然而，该漏洞能够完全绕过这一核心安全防御机制。
零授权触发：用户无需执行任何危险操作，仅仅是执行“打开文件夹”或“加载代码项目”这些最常规的日常开发动作，恶意代码便会在后台静默执行。整个过程没有任何“允许执行”的授权提示，用户处于完全无感知的状态。
漏洞状态：截至本预警发布前，DARKNAVY 已确认 OpenAI Codex 的最新版本 26.313.41514 (1043) 仍存在该漏洞，官方尚未发布修复补丁。

鉴于该漏洞攻击门槛极低且受众基数庞大，DARKNAVY 特此发布安全预警。在官方发布正式修复补丁前，建议所有 Vibe Coding 开发者采取以下临时防护措施：

谨慎审查外部项目：在使用 Codex 等 AI 编程助手打开未知来源或不受信任的第三方开源仓库、文件夹前，务必在安全环境中进行审查。
警惕社工钓鱼：警惕通过邮件、社群分享等渠道传播的不明工程文件。

回顾行业现状，同类产品 Claude Code 此前也曾被海外安全团队披露过类似的用户未授权代码执行漏洞。Anthropic 官方最终将其评定为高危（CVSS 8.7 HIGH）并分配了 CVE-2025-59536 编号[3]。截至目前，OpenAI 团队尚未对 DARKNAVY 提交的漏洞报告及演示作出回应。颇具讽刺意味的是，OpenAI 不久前刚刚公开宣称利用其“Codex Security”能力挖掘了上万个高危漏洞（high-severity findings）[4]。作为AI在安全领域应用的主要推进者，为何未能将同等防护能力有效反哺于自身的核心产品，或许值得深思。

附加提醒

在 Claude Code、Cursor、VSCode 等主流编程助手/IDE 中，当用户点击“信任当前目录（Trust Workspace）”后，部分工具也会自动触发并执行项目中的特定代码。而此次 Codex 暴露的漏洞表明，即便在未显式授权的情况下，AI 驱动的开发工具仍可能引入严重安全风险。在此呼吁广大开发者，在引入未审计的外部依赖时务必保持安全敏感性。

参考：

[1] https://x.com/fidjissimo/status/2033537381907710092

[2] https://www.zerodayinitiative.com/Pwn2OwnBerlin2026Rules.html

[3] https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/

[4] https://openai.com/index/codex-security-now-in-research-preview/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：DARKNAVY 特别预警特别预警《特别预警｜开发者请注意：使用OpenAI Codex 可能被攻击》