Một lỗ hổng chuỗi cung ứng nghiêm trọng trong OpenAI Codex CLI đã được vá sau khi đượcCheck Point Researchphát hiện.
Khi lập trình hỗ trợ AI trở thành thông lệ tiêu chuẩn, với hơn 90% nhà phát triển hiện sử dụng các công cụ này hàng ngày, ranh giới giữa tốc độ vận hành và rủi ro bảo mật đang trở nên mờ nhạt.
Các công cụ cho phép tự động hóa này có thể vô tình phơi bày mạng nội bộ trước nguy cơ thực thi mã từ xa (RCE) và vi phạm quy định.
Check Point Research đã tiết lộ một lỗ hổng trong cách giao diện dòng lệnh Codex xử lý cấu hình cụ thể cho dự án, cho thấy chỉ một tệp tin có thể làm tổn hại toàn bộ môi trường phát triển.
Nội dung chính
Cái bẫy được giăng ra với các nhà phát triển sử dụng OpenAI Codex CLI như thế nào
Codex CLI đơn giản hóa quá trình phát triển bằng cách đọc và chạy mã trực tiếp từ terminal.
Để hỗ trợ điều này, nó sử dụngModel Context Protocol(MCP), một tiêu chuẩn cho phép nhà phát triển mở rộng CLI với các công cụ và quy trình làm việc tùy chỉnh.
Trong khi tính mở rộng này thúc đẩy hiệu quả, cơ chế tải các cấu hình này lại thiếu xác thực.
Lỗ hổng phụ thuộc vào cách CLI xác định đường dẫn cấu hình khi khởi động.
Các nhà nghiên cứu phát hiện công cụ này tự động tải và thực thi các mục máy chủ MCP từ cấu hình cục bộ của dự án bất cứ khi nào lệnhcodexđược chạy bên trong kho lưu trữ đó.
Nếu một kho lưu trữ chứa tệp.envchuyển hướng biếnCODEX_HOMEđến một thư mục cục bộ và bao gồm một tệp cấu hình tương ứng, CLI sẽ chấp nhận thư mục cục bộ này như một nguồn có thẩm quyền.
Nó phân tích các định nghĩa và kích hoạt các lệnh đã khai báo ngay lập tức khi khởi động.
Không có sự phê duyệt tương tác hay xác thực thứ cấp nào.
CLI coi cấu hình MCP cục bộ của dự án như một tài liệu thực thi đáng tin cậy.
Vũ khí hóa quy trình làm việc
Chuỗi sự kiện này biến các tệp kho lưu trữ tiêu chuẩn thành một vector thực thi.
Kẻ tấn công cam kết một tệp.envvà tệp cấu hình bị sửa đổi có thể kích hoạt các lệnh tùy ý trên máy của bất kỳ nhà phát triển nào sao chép kho lưu trữ và chạy công cụ.
Check Point Research đã chứng minh điều này với một tải trọng máy tính đơn giản, nhưng chuỗi tương tự hỗ trợ một reverse shell.
Lệnh chạy trong ngữ cảnh của người dùng, cho phép kẻ tấn công lấy cắp dữ liệu hoặc thu thập thông tin xác thực một cách thầm lặng.
Vector tấn công này, được làm nổi bật bởi lỗ hổng OpenAI Codex CLI, gắn sự tin cậy vào sự hiện diện của mục cấu hình dưới đường dẫn đã được xác định hơn là nội dung của chính mục đó.
Một cấu hình ban đầu vô hại có thể bị thay thế bằng một cấu hình độc hại sau khi hợp nhất, tạo ra một backdoor chuỗi cung ứng tàng hình được kích hoạt trong quy trình làm việc thông thường của nhà phát triển.
Hậu quả về quy định và kinh doanh
Đối với doanh nghiệp, rủi ro mở rộng ra ngoài một trạm làm việc bị xâm phạm.
Máy của nhà phát triển thường xuyên chứa token đám mây, khóa SSH và mã nguồn.
Kẻ tấn công có thể thu thập những thông tin xác thực này để chuyển hướng đến tài nguyên đám mây hoặc mạng nội bộ.
Tác động có thể xảy ra ngay lập tức.
Check Point Research đã phác thảo các hậu quả cụ thể:
- Lộ lọt các khóa API và SSHđược liên kết với dữ liệu nhạy cảm và tài nguyên đám mây.
- Thực thi mã trái phéptrên máy của nhà phát triển.
- Gián đoạn các pipeline CI/CD,dẫn đến mã chưa được xác minh trong môi trường sản xuất.
- Vi phạm tiềm ẩn các quy định PCI-DSS, SOX và GDPRtrong các ngành công nghiệp được quản lý chặt chẽ như tài chính và chăm sóc sức khỏe.
Theo Oded Vanunu, Giám đốc Công nghệ và Trưởng bộ phận Nghiên cứu Lỗ hổng Sản phẩm tại Check Point:
“Lỗ hổng này đưa mối đe dọa đến một nơi mới.
Kẻ tấn công không cần phải đột nhập vào cơ sở hạ tầng;
chúng chỉ cần khai thác mô hình tin cậy xung quanh các công cụ phát triển.
“Khi một công cụ AI tải và chạy các tệp mà không xác thực, tổ chức mất kiểm soát đối với một trong những quy trình thường xuyên nhất của mình.
Các tổ chức cần xác minh những gì đi vào pipeline, không chỉ những gì thoát ra khỏi nó.”
Suy nghĩ lại về ‘cấu hình như mã’ sau lỗ hổng OpenAI Codex CLI
OpenAI đã phát hành bản sửa lỗi trong Codex CLI phiên bản 0.23.0.
Bản vá ngăn các tệp.envchuyển hướng thầm lặng biếnCODEX_HOMEvào các thư mục dự án, đóng đường dẫn thực thi tự động.
CLI đã cập nhật chặn chuyển hướng cục bộ của dự án đối với biến này, ngăn chặn việc thực thi ngay lập tức các tệp dự án do kẻ tấn công cung cấp.
Sự cố này thách thức mô hình “cấu hình như mã” khi các công cụ ngầm tin tưởng vào các tệp cục bộ.
Các nhà lãnh đạo an ninh phải đảm bảo công cụ dành cho nhà phát triển trải qua quản lý vá lỗi nghiêm ngặt như cơ sở hạ tầng sản xuất.
Tiến sĩ Andrew Bolster, Quản lý Cấp cao, Nghiên cứu và Phát triển tạiBlack Duck, nhận xét:
“Nghiên cứu này củng cố mối đe dọa mới nổi của ‘Bộ ba Chết người’ (Còn được gọi là ‘Quy tắc Hai’);
Trong việc tìm kiếm lợi ích năng suất để biện minh cho khoản đầu tư, những người tích hợp AI đang cung cấp cho các hệ thống thông minh quyền truy cập vào dữ liệu riêng tư, tiếp xúc với nội dung không đáng tin cậy và khả năng giao tiếp bên ngoài.
Bộ ba này mở ra những mối nguy hiểm được quan sát trong nghiên cứu này.
Trong các thời đại trước, điều này được gọi là ‘tiêm nhiễm’ và đã là một mối đe dọa nhất quán trong bối cảnh bảo mật ứng dụng kể từ khi bắt đầu phát triển phần mềm.
“Cho phép – hoặc thậm chí khuyến khích – các tác nhân AI kiểm tra các tệp, trang web hoặc API có vẻ vô hại có thể giới thiệu các hướng dẫn ẩn, bất ngờ, và với quyền tự chủ rộng rãi được cấp cho các tác nhân đối với môi trường phát triển cục bộ, tác nhân thực thi trên những hướng dẫn đó có thể tàn phá các môi trường phát triển vốn an toàn.”
Sự tin cậy không thể bị ràng buộc một cách mù quáng vào nội dung kho lưu trữ.
Khi các tổ chức áp dụng các công cụ lập trình AI như OpenAI Codex CLI, việc xác minh nguồn gốc của các tệp cấu hình và thực thi các chính sách kiểm soát phiên bản nghiêm ngặt là bắt buộc để duy trì tính toàn vẹn của chuỗi cung ứng.
“Các mối đe dọa như vậy đòi hỏi một cách tiếp cận không tin cậy đối với hoạt động của tác nhân;
về mặt nhắc nhở, hoạt động của chúng và các hành động mà những tác nhân đó được phép thực hiện thay mặt người dùng.
Trong khi có tiến bộ đang được thực hiện trong ‘ủy thác tin cậy’ cho các tác nhân;
những người tích hợp và vận hành phải đảm bảo đào tạo và rào chắn phù hợp được áp dụng để tận dụng các hệ thống mới này một cách an toàn,” Bolster nói thêm.
“Trong thời đại AI, bảo mật không chỉ là mã bạn cho phép chạy trong môi trường của mình;
nó phải là một chuỗi tổng thể chạy từ mỗi nhà phát triển cho đến chế độ quản trị và an ninh mạng của bạn.”
Xem thêm:Sự kiệt sức của nhà phát triển mã nguồn mở làm gia tăng rủi ro chuỗi cung ứng
Developer được cung cấp bởiTechForge Media.
Khám phá các sự kiện và hội thảo trực tuyến về công nghệ doanh nghiệp sắp tớitại đây.
