Уязвимость в OpenAI Codex позволяла красть GitHub-токены: проблему уже закрыли

Исследователи BeyondTrust Phantom Labs обнаружили в OpenAI Codex уязвимость, позволяющую получить GitHub OAuth-токены и использовать их для доступа к репозиториям, рабочим процессам и приватному коду. OpenAI уже устранила проблему.

Суть проблемы — в ошибке обработки входящих данных внутри Codex. Уязвимость возникала из-за недостаточной очистки имени ветки GitHub при выполнении задачи. Если подставить в параметр имени ветки специально подготовленное значение, можно добиться выполнения произвольных команд внутри контейнера агента, а затем вытащить чувствительные токены аутентификации.

Проще говоря, уязвимость позволяла превратить обычный служебный параметр — имя ветки — в канал для внедрения команды. Дальше атакующий мог исполнять вредоносную нагрузку уже в среде, где работал агент Codex, и добираться до токенов, связанных с GitHub. Под угрозой оказались токены, связанные с репозиториями, рабочими процессами и приватным кодом, а при совместной работе над одним репозиторием это открывало путь к распространению атаки сразу на нескольких пользователей и даже компаний.

Токены были краткосрочными, то есть быстро истекали. Но это не означает безопасности уязвимости. Наоборот, BeyondTrust Phantom Labs смогла автоматизировать схему атаки так, чтобы сначала быстро извлечь токен, а затем успеть использовать его до истечения срока действия. Именно автоматизация делала возможной эксплуатацию в масштабе.

Чтобы скрыть атаку, исследователи применили дополнительно замаскированные полезные нагрузки с использованием символов Unicode. Это позволяло исполнять вредоносные команды так, чтобы они не бросались в глаза в интерфейсе. При это уязвимость затрагивала рабочую среду агента, у которого уже есть доступ к чувствительным ресурсам.

BeyondTrust сообщила о находке OpenAI в конце декабря 2025 года, и компания быстро исправила все заявленные проблемы.

Кодовые агенты уже выходят на уровень, где могут заметно ускорять разработку и брать на себя все более сложные задачи. Но такие инциденты напоминают: вместе с удобством и автоматизацией мы получаем новую поверхность атаки. Если агенту доверены доступ к репозиторию, токенам и рабочим процессам, любая ошибка в обработке входных данных может превращаться в риск компрометации чувствительных ресурсов.

Проблема здесь не только в OpenAI. Похожие вопросы возникают у всего класса AI-инструментов для разработки. Индустрия пока еще только формирует практики и стандарты безопасности для таких систем. При этом полный ручной контроль за каждым действием агента убивает сам смысл автоматизации. Поэтому главный открытый вопрос сегодня не в том, насколько умны кодовые агенты, а в том, насколько им можно доверять в реальной рабочей среде.

— Евгений Кокуйкин, руководитель HiveTrace