OpenAI Codex 漏洞允许攻击者窃取 GitHub 访问令牌 ( 通过 分支 名称构造有效载荷 )
- 内容介绍
- 文章标签
- 相关推荐
OpenAI Codex Vulnerability Allows Attackers to Steal GitHub Access Tokens
A critical command injection flaw in OpenAI Codex let attackers steal GitHub user access tokens and move laterally using the agent’s permissions.
Est. reading time: 4 minutes
[!quote]+
OpenAI Codex 是一款基于云的编码助手,可直接连接到开发人员的 GitHub 资源库。
当用户提交提示时,Codex 会启动一个托管容器来运行代码生成或资源库分析等任务。
BeyondTrust 的研究人员发现,在容器设置阶段,系统未能对输入进行正确的消毒。
具体来说,HTTP POST 请求中的 GitHub 分支名称参数被直接传入环境设置脚本。
攻击者可以通过在分支名称中注入 shell 命令来利用这一点。例如,恶意有效载荷可迫使系统将隐藏的 GitHub OAuth 令牌输出到可读文本文件中。
然后,攻击者可以提示 Codex 代理读取该文件,从而在网络界面上直接暴露明文令牌。
这种危险已从网络门户扩展到本地开发人员环境。研究人员发现,桌面 Codex 应用程序将身份验证凭据存储在本地身份验证文件中。
通过使用这些被泄露的本地令牌对后端应用程序接口进行身份验证,攻击者可以检索用户的整个任务历史记录。
这种后台访问允许他们提取隐藏在容器任务日志深处的 GitHub 访问令牌。
OpenAI Codex Vulnerability Allows Attackers to Steal GitHub Access Tokens
A critical command injection flaw in OpenAI Codex let attackers steal GitHub user access tokens and move laterally using the agent’s permissions.
Est. reading time: 4 minutes
[!quote]+
OpenAI Codex 是一款基于云的编码助手,可直接连接到开发人员的 GitHub 资源库。
当用户提交提示时,Codex 会启动一个托管容器来运行代码生成或资源库分析等任务。
BeyondTrust 的研究人员发现,在容器设置阶段,系统未能对输入进行正确的消毒。
具体来说,HTTP POST 请求中的 GitHub 分支名称参数被直接传入环境设置脚本。
攻击者可以通过在分支名称中注入 shell 命令来利用这一点。例如,恶意有效载荷可迫使系统将隐藏的 GitHub OAuth 令牌输出到可读文本文件中。
然后,攻击者可以提示 Codex 代理读取该文件,从而在网络界面上直接暴露明文令牌。
这种危险已从网络门户扩展到本地开发人员环境。研究人员发现,桌面 Codex 应用程序将身份验证凭据存储在本地身份验证文件中。
通过使用这些被泄露的本地令牌对后端应用程序接口进行身份验证,攻击者可以检索用户的整个任务历史记录。
这种后台访问允许他们提取隐藏在容器任务日志深处的 GitHub 访问令牌。