Все материалы
AI·

Уязвимость в OpenAI Codex позволяла красть GitHub-токены через command injection

Phantom Labs обнаружила command injection в Codex — токены GitHub можно было извлечь через имя ветки

Aravana··1 мин

Тип материала: Пост из Telegram

Поделиться:TelegramXLinkedIn
Как вам материал?

🔴 Уязвимость в OpenAI Codex позволяла красть GitHub-токены через command injection

Исследователи Phantom Labs (подразделение BeyondTrust) обнаружили критическую уязвимость в OpenAI Codex: вредоносный payload, встроенный в имя ветки GitHub, позволял выполнять произвольные shell-команды и извлекать OAuth-токены.

Атакующий с доступом к репозиторию мог компрометировать множество пользователей и перемещаться по корпоративным GitHub-средам. Уязвимость затрагивала веб-интерфейс, CLI, SDK и IDE-интеграции Codex.

OpenAI устранила проблему: улучшена валидация ввода, усилено экранирование shell-команд, ограничены scope и lifetime токенов.

Почему это важно: AI-ассистенты для кодинга получают всё более широкий доступ к инфраструктуре разработчиков — атаки на них становятся вектором для supply chain compromise.

Теги:OpenAICodexSecurityGitHubVulnerabilityAI Coding

Хотите получать подобные материалы раньше?

Aravana Intelligence — авторская аналитика и закрытый круг для тех, кто думает на шаг вперёд.

Узнать про Intelligence

Не пропускайте важное

Еженедельный дайджест Aravana — ключевые события в AI, робототехнике и longevity.

Похожие материалы

AI·Срочное

Индия готовит комплексный закон об AI

Парламентский комитет Индии призвал к созданию всеобъемлющего закона о регулировании AI

·1 мин
AI·Срочное

DeepSeek расследует многочасовой сбой после массовых жалоб пользователей

Bloomberg: один из главных AI-сервисов Китая столкнулся с многочасовым сбоем

·1 мин
AI·Срочное

Meituan выложила в открытый доступ мультимодальную модель LongCat-Next

Meituan открыла нативную мультимодальную модель с единым токен-пространством для текста, изображений и аудио

·1 мин