Sicherheitslücke: OpenAI Codex CLI führt versteckte Befehle aus Repository-Dateien aus

Backdoor durch Projektkonfiguration + Sicherheitsforscher von Check Point Software Technologies haben eine kritische Schwachstelle im Kommandozeilen-Tool OpenAI Codex CLI aufgedeckt. Die unter CVE-2025-61260 geführte Lücke ermöglicht es Angreifern, über manipulierte Repository-Dateien beliebigen Code auf Entwicklersystemen auszuführen – ganz ohne Wissen oder Zustimmung der Nutzer.

Das KI-gestützte Entwicklerwerkzeug Codex CLI integriert maschinelles Lernen in den Arbeitsablauf von Programmierern und erlaubt die Interaktion mit Projekten über natürlichsprachige Kommandos. Eine zentrale Funktion ist das Model Context Protocol (MCP), das externe Tools und Services in die Entwicklungsumgebung einbindet.

Automatische Ausführung ohne Sicherheitsprüfung

Die Schwachstelle liegt in der Art und Weise, wie Codex CLI projektspezifische Konfigurationen verarbeitet. Check Point fand heraus, dass das Tool MCP-Server-Einträge aus lokalen Konfigurationsdateien automatisch lädt und ausführt, sobald Codex innerhalb eines Repositories gestartet wird.

Konkret geschieht Folgendes: Enthält ein Repository eine .env-Datei mit der Einstellung CODEX_HOME=./.codex sowie eine entsprechende Konfigurationsdatei ./.codex/config.toml mit MCP-Server-Definitionen, interpretiert die CLI diese lokale Konfiguration als vertrauenswürdig. Die darin deklarierten Befehle und Argumente werden beim Programmstart sofort ausgeführt – ohne jegliche Sicherheitsabfrage oder Validierung.

Einfallstor für Supply-Chain-Attacken

Diese Designschwäche verwandelt gewöhnliche Projektdateien in einen Angriffsvektor. Ein Angreifer, der entsprechend präparierte Dateien in ein Repository einschleusen kann, erlangt die Möglichkeit zur Remote-Code-Ausführung auf allen Entwicklersystemen, die das betroffene Projekt klonen und Codex verwenden.

Check Point demonstrierte den Exploit sowohl mit harmlosen Proof-of-Concept-Payloads als auch mit Reverse-Shell-Angriffen. Da das Vertrauen der CLI an das Vorhandensein der Konfiguration gekoppelt ist und nicht an deren Inhalt, können zunächst harmlos erscheinende Einträge nachträglich durch schadhaften Code ersetzt werden.

Weitreichende Konsequenzen für Entwicklerumgebungen

Die Auswirkungen der Schwachstelle sind erheblich. Angreifer mit Schreibzugriff auf ein Repository können:

• Persistente Backdoors etablieren: Reverse-Shells oder andere Schadprogramme werden bei jeder Nutzung von Codex reaktiviert
• Unbemerkt Befehle ausführen: Jeder in der MCP-Konfiguration definierte Shell-Befehl läuft im Benutzerkontext
• Zugangsdaten abgreifen: Entwicklersysteme enthalten häufig Cloud-Tokens, SSH-Schlüssel und sensiblen Quellcode
• CI/CD-Pipelines kompromittieren: Wenn Build-Systeme Codex nutzen, kann die Schwachstelle auf die gesamte Lieferkette übergreifen
• Lateral Movement ermöglichen: Gesammelte Credentials eröffnen Zugriff auf weitere interne Ressourcen

Besonders gefährlich wird die Lücke bei weit verbreiteten Open-Source-Projekten, Starter-Templates oder Firmen-Repositories, die von vielen Entwicklern genutzt werden.

Patch verfügbar – Update dringend empfohlen

Check Point meldete die Schwachstelle am 7. August 2025 verantwortungsvoll an OpenAI. Das Unternehmen reagierte zügig und veröffentlichte am 20. August 2025 mit Version 0.23.0 der Codex CLI einen Fix.

Der Patch verhindert, dass .env-Dateien die CODEX_HOME-Variable unbemerkt auf Projektverzeichnisse umleiten können. Damit ist der von den Forschern demonstrierte Angriffsweg geschlossen. Check Point bestätigte nach eigenen Tests die Wirksamkeit der Korrektur.

Allen Nutzern von OpenAI Codex CLI wird dringend geraten, umgehend auf Version 0.23.0 oder neuer zu aktualisieren. Die Schwachstelle zeigt einmal mehr, wie wichtig es ist, auch bei Entwicklerwerkzeugen die Vertrauensgrenzen zwischen Projektcode und Systemausführung klar zu definieren.

Quelle: Check Point Software Technologies

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Mehr erfahren

---