Die Sicherheitsforscher von Check Point Research (CPR), der IT-Forensik von Check Point Software Technologies, haben eine schwerwiegende Schwachstelle in OpenAI-Codex-CLI entdeckt. Dabei handelt es sich um das Command-Line-Tool von OpenAI, das KI-gestützte Programmierfunktionen direkt in Entwickler-Workflows integriert. Die Schwachstelle ermöglichte Remote-Code-Execution (RCE) allein durch das Öffnen eines manipulierten Projektordners und ohne Interaktion oder Zustimmung des Nutzers.
In einer Forschungsinitiative prüfte CPR, ob Codex die von Projekten bereitgestellten Konfigurationen und Umgebungsüberschreibungen, die zur Laufzeit automatisch geladen werden, sicher handhabt. Daraufhin testete CPR, ob Angreifer das automatische Vertrauen des CLI in nicht überprüfte Projektdateien in gemeinsamen Entwicklungsumgebungen ausnutzen können.
MCP-Daten als vertrauensvoller Code
Bei seinen Tests hat CPR festgestellt, dass Codex-CLI automatisch MCP-Server-Einträge aus einer projektlokalen Konfiguration lädt und ausführt, wenn Codex in diesem Repository ausgeführt wird. Konkret: Wenn ein Projekt eine .env mit CODEX_HOME=./.codex sowie eine passende ./.codex/config.toml enthält, lädt Codex CLI automatisch diese lokale Konfiguration, liest die MCP-Einträge und führt die darin definierten Befehle sofort beim Start aus. Dabei gibt es weder eine Nachfrage noch eine Prüfung oder erneute Validierung. Das CLI behandelt die lokalen MCP-Dateien vollständig als vertrauenswürdigen Code.
Diese Sequenz verwandelt gewöhnliche Repository-Dateien in einen Ausführungsvektor: Ein Angreifer, der eine .env und eine ./.codex/config.toml übertragen oder zusammenführt, kann beliebige Befehle auf jedem Entwickler ausführen lassen, der das Repository klont und codex startet. In der Praxis hat CPR dies mit deterministischen Nutzdaten (Dateierstellung) und per Ersetzen gutartiger Befehle durch Reverse-Shell-Nutzdaten demonstriert; beide wurden ohne Benutzeraufforderung ausgeführt. Da das Vertrauen auf dem Vorhandensein des MCP-Eintrags unter dem aufgelösten CODEX_HOME und nicht auf dem Inhalt des Eintrags basiert, kann eine anfänglich harmlose Konfiguration gegen eine bösartige ausgetauscht werden. Dadurch wird eine heimliche, reproduzierbare Hintertür in der Lieferkette geschaffen, die bei normalen Entwickler-Workflows ausgelöst wird.
Eine Schwachstelle mit fatalen Konsequenzen
Diese Sicherheitsanfälligkeit ermöglichte eine stille, wiederholbare Remotecodeausführung in jeder Umgebung, in der Entwickler Codex gegen ein Repository ausführen. Durch den Missbrauch des Ladens projektlokaler Konfigurationen konnte ein Angreifer, der einen Commit oder PR (Pull-Request) durchzuführen vermochte, ein ansonsten harmloses Repository in eine dauerhafte Hintertür verwandeln. Diese würde jedes Mal ausgelöst, wenn ein Entwickler Codex ausführt, ohne zusätzliche Aufforderungen oder Genehmigungen.
Ein Angreifer mit Commit- oder PR-Zugriff konnte:
- Persistenten Fernzugriff einrichten: Durch eine in ./.codex/config.toml hinterlegte Reverse Shell (plus .env-Umleitung) kann ein Angreifer jedes Mal Zugriff erhalten, wenn ein Entwickler Codex startet.
- Beliebige Befehle unbemerkt ausführen: Jeder in einem MCP-Eintrag definierte Befehl wird automatisch und ohne Hinweis im Nutzerkontext ausgeführt.
- Daten abgreifen und weiter eskalieren: Entwicklerrechner enthalten oft Cloud-Token, SSH-Keys oder Quellcode – ein Angreifer kann diese stehlen, exfiltrieren oder für weitere Angriffe nutzen.
- Schädlichen Code nachträglich austauschen: Da Codex dem Konfigurationspfad vertraut, nicht dem Inhalt, kann ein zunächst harmloser Eintrag später unbemerkt durch einen bösartigen Payload ersetzt werden.
- Über die Software-Lieferkette verbreiten: Manipulierte Templates, Starter-Repos oder Open-Source-Projekte können mit einem einzigen Commit viele Nutzer kompromittieren.
- CI- und Build-Pipelines infizieren: Führen CI/CD-Systeme Codex in kompromittierten Projekten aus, kann sich der Angriff auf Build-Artefakte und Deployments ausweiten.
- Lateral Movement ermöglichen: Mit erbeuteten Zugangsdaten kann ein Angreifer sich innerhalb von Cloud-Umgebungen oder internen Netzwerken weiter ausbreiten.
So wurde die Sicherheitsgrenze der Befehlszeilenschnittstelle durchbrochen: Vom Projekt bereitgestellte Dateien wurden zu vertrauenswürdigem Ausführungsmaterial, und dieses implizite Vertrauen konnte mit minimalem Aufwand und ohne Benutzerinteraktion über den normalen Entwicklungsablauf hinaus ausgenutzt werden.
Oded Vanunu, Chief Technologist und Head of Product Vulnerability Research bei Check Point, kommentiert: „Diese Sicherheitslücke bringt Cyberbedrohungen auf eine neue Ebene. Angreifer müssen nicht mehr in die Infrastruktur eindringen, sondern nutzen einfach das Vertrauensmodell rund um Entwicklungswerkzeuge aus. Wenn ein KI-Tool Dateien ohne Validierung lädt und ausführt, verliert das Unternehmen die Kontrolle über einen seiner routinemäßigsten Prozesse. Unternehmen müssen überprüfen, was in die Pipeline gelangt, und nicht nur, was sie verlässt.“
Info: Check Point Research informierte OpenAI am 7. August 2025 über den Fund.
OpenAI veröffentlichte am 20. August 2025 in Codex CLI v0.23.0 einen Fix, der die automatische Umleitung von CODEX_HOME durch .env-Dateien blockiert und damit den Angriffspfad schließt. CPR bestätigte die Wirksamkeit des Patches. Um den Schutz zu gewährleisten, empfehlen wir allen Benutzern dringend ein Update auf Codex CLI Version 0.23.0 oder höher.
Weitere Informationen und eine technische Analyse finden sich hier: https://research.checkpoint.com/2025/openai-codex-cli-command-injection-vulnerability/
#CheckPoint
