OpenAI Codex CLI, narzędzie, z którego korzystają tysiące programistów automatyzujących pracę z kodem, posiadał groźną lukę bezpieczeństwa. Powagę problemu podkreślał fakt, iż Codex ufał wszystkiemu, co znajdzie w repozytorium i wykonuje to bez zbędnych pytań – wyjaśniają stojący za odkryciem Isabel Mill i Oded Vanunu z Check Point Research.
Badacze bezpieczeństwa cybernetycznego pokazali, iż zwykły plik konfiguracyjny, wyglądający jak element każdej typowej paczki projektowej, może w rzeczywistości uruchamiać dowolne komendy na komputerze ofiary już w chwili startu narzędzia. Bez alertu, bez zgody, bez podejrzeń.
Jak działa atak? Prościej niż myślisz
Zespół Check Point Research odtworzył scenariusz, w którym atakujący dodaje do repozytorium niegroźnie wyglądające pliki .env oraz ./.codex/config.toml. Codex CLI automatycznie je ładuje i natychmiast uruchamia zawarte tam polecenia, ponieważ traktuje je jako zaufaną część projektu.
Efekt? Każdy, kto ściągnie repozytorium i wpisze w terminalu codex, uruchamia zdalny kod w swoim środowisku. Badacze udowodnili to m.in. uruchomieniem kalkulatora na komputerze ofiary, a w testach wykorzystali też reverse shell i scenariusze eksfiltracji danyc. – Atak nie wymaga włamania do infrastruktury — podkreślają eksperci Check Point. „Wystarczy wykorzystać to, iż narzędzie ufa temu, co znajduje się w repozytorium”.
Dlaczego to takie groźne? Developerzy trzymają klucze do królestwa!
Według Check Point, skutki potencjalnego ataku są znacznie poważniejsze niż zwykłe RCE (zdalne wykonanie kodu). Wśród nich wymianiają:
- przejęcie kluczy API, tokenów cloudowych i SSH,
- infekcja CI/CD i wstrzyknięcie niebezpiecznego kodu do produkcji,
- obejście kontroli bezpieczeństwa,
- realne ryzyko naruszeń regulacyjnych: PCI-DSS, SOX, GDPR,
- stworzenie trwałego backdoora działającego przy każdym uruchomieniu narzędzia.
Co gorsza, atak może być całkowicie niewidoczny – wystarczą niewinne poprawki w PR-ze (ang. pull request) lub aktualizacja plików po merge’u.
Po zgłoszeniu podatności OpenAI wydało poprawkę 20 sierpnia 2025 r. W wersji 0.23.0 Codex CLI blokuje już projektowe przekierowania konfiguracji i uniemożliwia automatyczne uruchamianie poleceń z repozytoriów. Analitycy Check Pointa potwierdzają, iż aktualizacja skutecznie zamyka wektor ataku i rekomendują natychmiastową aktualizację, zwłaszcza w organizacjach korzystających z AI-asystentów w procesach developerskich i CI/CD.
