Уязвимость в OpenAI Codex позволяла красть GitHub-токены: проблему уже закрыли

Исследователи BeyondTrust Phantom Labs обнаружили в OpenAI Codex уязвимость, позволяющую получить GitHub OAuth-токены и использовать их для доступа к репозиториям, рабочим процессам и приватному коду. OpenAI уже устранила проблему.

Суть проблемы — в ошибке обработки входящих данных внутри Codex. Уязвимость возникала из-за недостаточной очистки имени ветки GitHub при выполнении задачи. Если подставить в параметр имени ветки специально подготовленное значение, можно добиться выполнения произвольных команд внутри контейнера агента, а затем вытащить чувствительные токены аутентификации.

Проще говоря, уязвимость позволяла превратить обычный служебный параметр — имя ветки — в канал для внедрения команды. Дальше атакующий мог исполнять вредоносную нагрузку уже в среде, где работал агент Codex, и добираться до токенов, связанных с GitHub. Под угрозой оказались токены, связанные с репозиториями, рабочими процессами и приватным кодом, а при совместной работе над одним репозиторием это открывало путь к распространению атаки сразу на нескольких пользователей и даже компаний.

Токены были краткосрочными, то есть быстро истекали. Но это не означает безопасности уязвимости. Наоборот, BeyondTrust Phantom Labs смогла автоматизировать схему атаки так, чтобы сначала быстро извлечь токен, а затем успеть использовать его до истечения срока действия. Именно автоматизация делала возможной эксплуатацию в масштабе.

Чтобы скрыть атаку, исследователи применили дополнительно замаскированные полезные нагрузки с использованием символов Unicode. Это позволяло исполнять вредоносные команды так, чтобы они не бросались в глаза в интерфейсе. При это уязвимость затрагивала рабочую среду агента, у которого уже есть доступ к чувствительным ресурсам.

BeyondTrust сообщила о находке OpenAI в конце декабря 2025 года, и компания быстро исправила все заявленные проблемы.