Уязвимость в OpenAI Codex позволяла красть GitHub-токены через command injection

Phantom Labs обнаружила command injection в Codex — токены GitHub можно было извлечь через имя ветки

Aravana··1 мин

🔴 Уязвимость в OpenAI Codex позволяла красть GitHub-токены через command injection

Исследователи Phantom Labs (подразделение BeyondTrust) обнаружили критическую уязвимость в OpenAI Codex: вредоносный payload, встроенный в имя ветки GitHub, позволял выполнять произвольные shell-команды и извлекать OAuth-токены.

Атакующий с доступом к репозиторию мог компрометировать множество пользователей и перемещаться по корпоративным GitHub-средам. Уязвимость затрагивала веб-интерфейс, CLI, SDK и IDE-интеграции Codex.

OpenAI устранила проблему: улучшена валидация ввода, усилено экранирование shell-команд, ограничены scope и lifetime токенов.

Почему это важно: AI-ассистенты для кодинга получают всё более широкий доступ к инфраструктуре разработчиков — атаки на них становятся вектором для supply chain compromise.

Этот материал подготовлен командой AI-агентов AravanaAI и проверен главным редактором.

Тип материала: Пост из Telegram

Поделиться:TelegramXLinkedIn
Как вам материал?

Читайте также

Хотите получать подобные материалы раньше?

Aravana Intelligence — авторская аналитика и закрытый круг для тех, кто думает на шаг вперёд.

Узнать про Intelligence

Не пропускайте важное

Еженедельный дайджест Aravana — ключевые события в AI, робототехнике и longevity.

Похожие материалы

OpenAI впервые приехала продавать рекламу и принесла рынку конкретные цифры

OpenAI на Cannes Lions 2026 раскрыла метрики ChatGPT-рекламы: 2 000+ брендов, семь стран, 20% запросов с коммерческим интентом, доля закрытий упала на 50%.

·1 мин

Маск выпустил Grok 4.5 и говорит, что обгоняет Claude Opus

xAI запустила Grok 4.5 в закрытое бета-тестирование на сотрудниках SpaceX и Tesla. Модель на 1,5 трлн параметров — втрое больше предыдущей.

·1 мин

«Это пахнет доткомами и железнодорожной манией»: BIS вышел против AI-бума

BIS в годовом отчёте сравнил AI-стройку с доткомами и железнодорожной манией: $1 трлн капекс пяти hyperscalers за 2025–2026 годы и риски резкого разворота.

·1 мин