Yapay zeka destekli akıl yürütmeyi geliştirici iş akışlarına getirmek için tasarlanmış bir komut satırı aracı olan OpenAI Codex CLI, saldırganların herhangi bir kullanıcı etkileşimi veya onayı olmadan geliştirici makinelerinde rastgele komutlar yürütmesine olanak tanıyan kritik bir güvenlik açığı içeriyor.
Güvenlik araştırmacıları Isabel Mill ve Oded Vanunu, 1 Aralık 2025’te CVE-2025-61260 olarak takip edilen kusuru keşfettiler.
| Bağlanmak | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-61260 |
| Ürün | OpenAI Kodeksi CLI |
| Güvenlik Açığı Türü | Proje Yerel Yapılandırması aracılığıyla Komut Ekleme |
| Şiddet | Kritik |
| CVSS Puanı | 9,8 (tahmini) |
Güvenlik açığı, Codex CLI’nin proje yerel yapılandırma dosyalarını işleme biçiminde bulunmaktadır.
Araç, bir geliştirici Codex’i bir depoda çalıştırdığında, projenin yerel yapılandırmasından Model Bağlam Protokolü (MCP) sunucu girişlerini otomatik olarak yükler ve yürütür.
Bu, etkileşimli onay, ikincil doğrulama ve değerler değiştiğinde yeniden kontrol olmadan sessizce gerçekleşir.
Saldırı Nasıl Çalışır?
Bir depoya yazma erişimi veya çekme isteği izinlerine sahip bir saldırgan, iki basit dosya oluşturarak bu kusurdan yararlanabilir.
Öncelikle Codex yapılandırma dizinini yerel bir klasöre (CODEX_HOME=./.codex) yönlendiren bir .env dosyası eklerler. İkinci olarak, rastgele komutlarla kötü amaçlı MCP sunucusu girişlerini içeren bir ./.codex/config.toml dosyası oluştururlar.
Bir geliştirici depoyu klonladığında ve Codex’i çalıştırdığında, araç bu komutları herhangi bir uyarı veya istem olmadan geliştiricinin bağlamında otomatik olarak yürütür.
Checkpoint araştırmacıları bu güvenlik açığını, tümü kurban makinelerde sessizce çalışan, deterministik dosya oluşturma saldırıları ve ters kabuk yürütme dahil olmak üzere birden fazla kavram kanıtlama yüküyle gösterdi.
Bu güvenlik açığı, geliştiricilerin ve kuruluşların anlaması gereken birden fazla saldırı senaryosuna olanak tanır.
Saldırganlar, yapılandırma dosyasına ters kabuklar yerleştirerek kalıcı uzaktan erişim elde edebilir ve bir geliştirici Codex’i her çalıştırdığında giriş elde edebilir.
Geliştiricinin sistemine ve kimlik bilgilerine tam erişimle, MCP girişinde tanımlanan herhangi bir kabuk komutunu anında yürütebilirler.
Geliştirici makineleri genellikle hassas varlıklar içerir: bulut kimlik doğrulama belirteçleri, SSH anahtarları, kaynak kodu depoları ve erişim kimlik bilgileri.
Bir saldırgan bu sırları doğrudan toplayabilir. Güven, içerikten ziyade yapılandırma konumuna bağlı olduğundan, saldırganlar başlangıçta zararsız olan yapılandırmayı daha sonra, kod birleştirildikten sonra kötü amaçlı komutlarla değiştirebilir ve onay sonrası gizli bir arka kapı oluşturabilir.
Etki bireysel geliştiricilerin ötesine uzanıyor. Sürekli entegrasyon sistemleri, otomasyon araçları veya derleme aracıları Codex’i teslim alınan koda karşı çalıştırırsa, güvenlik açığı derleme yapıtlarına ve aşağı akış dağıtımlarına yayılır.
Kirlenmiş şablonlar veya popüler açık kaynaklı projeler, tek bir kötü niyetli işlemle birçok alt tüketiciyi silah haline getirebilir.
Bu kusur, geliştiricilerin araçlarından beklediği güvenlik sınırlarını temelden ihlal ediyor. Geliştiricilerin meşru bir havuzun parçası olarak doğal olarak güvendiği, proje tarafından sağlanan dosyalar, herhangi bir doğrulama olmaksızın güvenilir yürütme malzemesi haline gelir.
Saldırganın, değişiklikleri alan ve Codex’i çalıştıran herhangi bir geliştirici üzerinde sessiz kod yürütmeyi tetiklemek için yalnızca depo yazma erişimine veya başarılı bir çekme isteği birleştirmesine ihtiyacı vardır.
Güvenlik açığı son derece etkili bir tedarik zinciri saldırı vektörü yaratıyor. Birden fazla adım veya kullanıcı etkileşimi gerektiren birçok güvenlik açığından farklı olarak bu kusur, günlük geliştirici iş akışlarına sorunsuz bir şekilde entegre oluyor ve tespit edilmesini zorlaştırıyor.
Geliştiriciler, rutin bir geliştirme aracı gibi görünen bir şeyi çalıştırdıklarında rastgele komutların yürütüldüğünü belirtmezler.
Bu güvenlik açığı OpenAI’ye bildirildi. Geliştiriciler Codex CLI kullanımlarını gözden geçirmeli, proje yapılandırmalarını denetlemeli ve yamalı bir sürüm mevcut olana kadar depolarını şüpheli MCP sunucusu girişlerine karşı izlemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.