OpenAI Codex 漏洞允许攻击者窃取 GitHub 访问令牌 ( 通过 分支 名称构造有效载荷 )

问题描述：

Cyber Security News – 7 Apr 26

OpenAI Codex Vulnerability Allows Attackers to Steal GitHub Access Tokens

A critical command injection flaw in OpenAI Codex let attackers steal GitHub user access tokens and move laterally using the agent’s permissions.

Est. reading time: 4 minutes

[!quote]+

OpenAI Codex 是一款基于云的编码助手，可直接连接到开发人员的 GitHub 资源库。

当用户提交提示时，Codex 会启动一个托管容器来运行代码生成或资源库分析等任务。

BeyondTrust 的研究人员发现，在容器设置阶段，系统未能对输入进行正确的消毒。

具体来说，HTTP POST 请求中的 GitHub 分支名称参数被直接传入环境设置脚本。

攻击者可以通过在分支名称中注入 shell 命令来利用这一点。例如，恶意有效载荷可迫使系统将隐藏的 GitHub OAuth 令牌输出到可读文本文件中。

然后，攻击者可以提示 Codex 代理读取该文件，从而在网络界面上直接暴露明文令牌。

这种危险已从网络门户扩展到本地开发人员环境。研究人员发现，桌面 Codex 应用程序将身份验证凭据存储在本地身份验证文件中。

通过使用这些被泄露的本地令牌对后端应用程序接口进行身份验证，攻击者可以检索用户的整个任务历史记录。

这种后台访问允许他们提取隐藏在容器任务日志深处的 GitHub 访问令牌。这种攻击还可以自动化，在不与 Codex 界面交互的情况下入侵多个用户。

通过直接在共享的 GitHub 代码库中创建恶意分支，攻击者可以针对在该特定代码库中使用 Codex 的任何人触发漏洞。

为了绕过 GitHub 的分支命名限制（该限制阻止标准空格），攻击者用包含内部字段分隔符的有效负载替换了空格。

他们还巧妙地利用 Unicode Ideographic Spaces 在用户界面上隐藏了恶意有效载荷。对于毫无戒心的受害者来说，恶意分支看起来与标准主分支完全相同。

一旦用户或自动进程与之交互，有效载荷就会在后台悄无声息地执行，将用户的 GitHub 令牌发送到攻击者控制的外部服务器。

网友解答：

---

--【壹】--：

幸好我的账户什么都没有）
没有泄露担忧这一块