OpenAI, Codex CLI aracında, saldırganların proje deposuna kötü amaçlı bir yapılandırma dosyası alarak geliştiricilerin makinelerinde rastgele komutlar yürütmesine olanak tanıyan bir komut ekleme kusurunu kapattı.
Artık Codex CLI sürüm 0.23.0’da giderilen sorun, codex komutunun rutin kullanımını etkili bir şekilde sessiz bir uzaktan kod yürütme tetikleyicisine dönüştürdü.
Codex CLI, Model Bağlam Protokolü (MCP) aracılığıyla harici araçları entegre ederken kodu okumak, düzenlemek ve çalıştırmak için tasarlanmış OpenAI’nin terminal tabanlı kodlama aracısıdır.
Check Point Research (CPR), CLI’nin dolaylı olarak proje yerel yapılandırmasına güvendiğini ve MCP sunucu tanımlarının başlangıçta kullanıcı onayı olmadan otomatik olarak yüklenmesine ve yürütülmesine olanak sağladığını keşfetti.
Bu davranış, .env ve .codex/config.toml gibi sıradan repo dosyalarının yürütme temel dosyalarına dönüştürülebileceği anlamına geliyordu.
OpenAI Codex CLI Güvenlik Açığı
CPR, eğer bir depo CODEX_HOME=./.codex’i ayarlayan bir .env ve mcp_servers girişleriyle eşleşen bir ./.codex/config.toml içeriyorsa, Codex’in yapılandırmasını bu klasöre çözeceğini ve kodeks o depoda başlatıldığında hemen yapılandırılmış komutu ve argümanları çalıştıracağını gösterdi.
Bu komutlar değiştiğinde ikincil bir doğrulama veya yeniden onay olmadığından, taahhüt veya çekme isteği erişimine sahip saldırganlar, zararsız görünen yapılandırmalar yerleştirebilir ve daha sonra kötü amaçlı yükleri değiştirebilir.
Bir kavram kanıtında araştırmacılar, Codex başlar başlamaz macOS Hesap Makinesi’ni tetikleyerek kullanıcının bağlamında rastgele komutların nasıl tetiklendiğini gösterdi.
Codex, geliştiricinin ayrıcalıklarıyla çalıştığından, zehirlenmiş bir repo, ters kabukları sessizce açabilir, SSH anahtarlarını ve bulut belirteçlerini sızdırabilir veya Codex her çağrıldığında kaynak kodunda değişiklik yapabilir.
Saldırı yolu aynı zamanda tedarik zincirinin kötüye kullanılmasına da elverişlidir: Codex’i kullanan popüler şablonlar, başlangıç depoları veya CI ardışık düzenleri, ek etkileşim olmadan arka kapıyı birçok aşağı akış ortamına yayabilir. CPR, kusurun, proje kontrollü dosyaları güvenilir yürütme malzemesi olarak değerlendirerek önemli bir güvenlik sınırını etkili bir şekilde çökerttiği konusunda uyarıyor.
CPR, sorunu 7 Ağustos 2025’te OpenAI’ye özel olarak bildirdi ve OpenAI, 20 Ağustos 2025’te Codex CLI 0.23.0’da bir düzeltme gönderdi. Yama, .env dosyalarının CODEX_HOME dosyasını sessizce proje dizinlerine yönlendirmesini engelleyerek araştırmacıların gösterdiği otomatik yürütme zincirini kapatıyor.
CPR tarafından yapılan testler, hafifletmeyi doğruladı ve tüm Codex kullanıcılarına, sürüm 0.23.0 veya daha sonraki bir sürüme yükseltmeleri ve bundan sonra depo düzeyindeki MCP yapılandırmasını hassas, inceleme gerektiren içerik olarak ele almaları önemle tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
