BeyondTrust Phantom Labs 的研究人員發現 OpenAI 的 Codex 存在一個嚴重的命令注入漏洞。此漏洞允許攻擊者利用分支名稱中隱藏的 Unicode 字元竊取敏感的 GitHub OAuth 令牌，從而可能危及整個企業環境的安全。

OpenAI的 Codex工具被發現有重大安全漏洞。 Codex 是眾多開發者用來輔助編寫和審查程式碼的工具。該漏洞可能允許駭客竊取GitHub存取令牌，這些令牌是賦予他人完全控制個人或公司私有程式碼庫的金鑰。

隱形樹枝戲法

供您參考，像 Codex 這樣的工具需要令牌才能存取程式設計師的工作內容。 Phantom Labs 的研究人員發現，該系統未能正確檢查用戶數據，導致攻擊者可以透過 GitHub 分支名稱注入命令。進一步調查顯示，攻擊者可以使用表意空格（一種特殊的 Unicode 字符，人眼看起來與普通空格無異）來隱藏惡意指令。

開發者可能以為自己正在查看名為 main 的標準分支，但實際上後台可能正在執行一條隱藏命令。 「當用戶控制的輸入未經嚴格驗證就被傳遞到這些環境中時，結果不僅僅是一個漏洞，而是一條可擴展的攻擊路徑，」研究人員在與 Hackread.com 分享的部落格文章中指出。在測試中，他們成功地迫使系統以明文形式洩露了秘密登入令牌。

Codex攻擊路徑（來源：BeyondTrust）

擴大攻擊規模

研究人員指出，這不僅對個人用戶構成威脅，因為該漏洞還影響了ChatGPT網站、Codex SDK 和各種開發者擴充功能。如果駭客將專案的預設分支變更為惡意版本，任何開啟該分支的使用者都可能面臨憑證外洩的風險。

值得注意的是，風險不僅限於雲端。由研究總監 Fletcher Davis 領導的研究團隊發現，Codex 將敏感的登入資料儲存在auth.json使用者本機電腦上的一個名為 `.codex.js` 的檔案中。如果駭客能夠存取開發人員的計算機，他們就可以竊取這些令牌，從而在整個組織的 GitHub 環境中進行操作。

快速反應

幸運的是，Phantom Labs 團隊於 2025 年 12 月 16 日迅速向OpenAI報告了該漏洞。這促使 OpenAI 在一週後的 12 月 23 日發布了初步的熱修復補丁。到 2026 年 1 月 30 日，OpenAI 已對 shell 命令實施了更嚴格的保護，並限制了這些令牌的存取權限，最終於 2 月 5 日將該問題標記為「一級嚴重」漏洞。

OpenAI隨後確認修復工作已完成，並感謝研究人員的合作。不過，這也提醒我們，在使用人工智慧工具時務必謹慎，因為它們不僅僅是助手，而是能夠高度存取我們最敏感資料的即時環境。

資料來源：https://hackread.com/openai-codex-vulnerability-steal-github-tokens/