OpenAI Codex에 GitHub Tokens를 훔칠 수 있는 Command Injection 버그가 발생했다
(dev.to)
OpenAI Codex에서 브랜치 이름 미검증으로 인한 Command Injection 취약점이 발견되어 GitHub OAuth 토큰 유출 위험이 드러났으며, 이는 권한이 광범위한 AI 코딩 도구가 새로운 보안 공격 표면이 될 수 있음을 보여주며 개발 프로세스의 보안 재고를 요구합니다.
이 글의 핵심 포인트
- 1OpenAI Codex에서 브랜치 이름의 명령 주입 취약점으로 GitHub OAuth 토큰 유출 위험 발생.
- 2미검증된 브랜치 이름이 컨테이너 내 셸 명령어로 전달되어 임의 코드 실행 가능.
- 3