Thought Leadership
Das Team von Check Point Research hat eine gravierende Schwachstelle im Command Line Tool OpenAI Codex CLI untersucht. Die Lücke erlaubte es, Schadcode aus der Ferne auszuführen, sobald ein präparierter Projektordner geöffnet wurde. Eine Bestätigung oder Interaktion des Nutzers war dafür nicht erforderlich.
Ausgangspunkt der Untersuchung war die Frage, wie sicher Codex mit Konfigurationen und Umgebungsvariablen umgeht, die von Projekten automatisch geladen werden. Die Forschenden testeten, ob Angreifer diese Mechanismen nutzen können, um Entwickler in gemeinsamen Projektumgebungen zu kompromittieren. Dabei stellte sich heraus, dass die CLI dem Inhalt eines Repositories mehr Vertrauen schenkt, als aus Sicherheitsaspekten vertretbar ist.
Automatische Ausführung lokaler MCP Daten
Im Rahmen der Analyse stellte Check Point Research fest, dass Codex CLI lokale MCP Server Konfigurationen ohne Warnung lädt, sobald Codex in einem entsprechenden Projekt gestartet wird. Dazu genügt eine .env Datei mit einem Verweis auf einen lokalen Codex Ordner sowie eine passende config.toml darin. Die CLI behandelt diese Dateien als vertrauenswürdige Quelle und führt alle darin enthaltenen Befehle sofort beim Start aus.
Damit werden gewöhnliche Projektdateien zu einem Ausführungsvektor. Ein Angreifer muss lediglich die beiden Dateien in ein Repository einbringen. Sobald ein Entwickler das Projekt klont und Codex startet, werden beliebige Befehle im Nutzerkontext ausgeführt. Check Point demonstrierte das sowohl mit harmlosen Tests wie dem Erstellen von Dateien als auch mit Szenarien, die auf Reverse Shells basieren.
Besonders kritisch ist, dass die CLI nicht den Inhalt der MCP Einträge überprüft, sondern allein deren Existenz im angezeigten Pfad. Eine zunächst gutartige Konfiguration kann daher später unbemerkt durch eine bösartige ersetzt werden.
Mögliche Folgen für Entwickler und Unternehmen
Die Schwachstelle ermöglicht es Angreifern, Entwicklungsumgebungen nahezu unbemerkt zu kompromittieren. Bereits ein einzelner Commit oder Pull Request in ein Projekt kann genügen, um eine dauerhafte Hintertür einzubauen. Diese wird jedes Mal aktiviert, wenn Codex im entsprechenden Repository gestartet wird.
Ein Angreifer könnte unter anderem
- persistenten Fernzugriff einrichten
- beliebige Befehle ohne Hinweis ausführen
- sensible Daten wie Schlüssel oder Tokens stehlen
- Schadcode in Repositories austauschen
- komplette Softwarelieferketten kompromittieren
- CI und Build Prozesse infizieren
- Zugangsdaten für seitliche Bewegungen in Cloud oder Netzwerkumgebungen nutzen
Die Gefahr entsteht durch das Vertrauen der CLI in projektlokale Dateien, die eigentlich wie externer Code behandelt werden müssten.
Oded Vanunu, Chief Technologist und Leiter der Produktforschung bei Check Point, bewertet den Fund als eine neue Qualität von Bedrohung. Nach seiner Einschätzung können Angreifer damit alltägliche Entwicklungsprozesse unterwandern, ohne direkt in Systeme eindringen zu müssen. Werkzeuge, die lokale Dateien ohne Prüfung laden, öffnen damit eine unerwartete Angriffsfläche.
Check Point Research informierte OpenAI am 7. August 2025 über die Schwachstelle. Am 20. August veröffentlichte OpenAI mit Version 0.23.0 der Codex CLI einen Patch. Dieser verhindert, dass die Variable CODEX_HOME über .env Dateien automatisch umgeleitet werden kann. Die Forschenden bestätigten, dass der Fix die Angriffsmöglichkeit wirksam beseitigt.
Allen Nutzern wird dringend empfohlen, auf Version 0.23.0 oder höher zu aktualisieren, um sich vor dieser Form der Codeausführung zu schützen.
