4. Dezember 2025
Backdoor durch Projektkonfiguration + Sicherheitsforscher von Check Point Software Technologies haben eine kritische Schwachstelle im Kommandozeilen-Tool OpenAI Codex CLI aufgedeckt. Die unter CVE-2025-61260 geführte Lücke ermöglicht es Angreifern, über manipulierte Repository-Dateien beliebigen Code auf Entwicklersystemen auszuführen – ganz ohne Wissen oder Zustimmung der Nutzer.
Das KI-gestützte Entwicklerwerkzeug Codex CLI integriert maschinelles Lernen in den Arbeitsablauf von Programmierern und erlaubt die Interaktion mit Projekten über natürlichsprachige Kommandos. Eine zentrale Funktion ist das Model Context Protocol (MCP), das externe Tools und Services in die Entwicklungsumgebung einbindet.
Automatische Ausführung ohne Sicherheitsprüfung
Die Schwachstelle liegt in der Art und Weise, wie Codex CLI projektspezifische Konfigurationen verarbeitet. Check Point fand heraus, dass das Tool MCP-Server-Einträge aus lokalen Konfigurationsdateien automatisch lädt und ausführt, sobald Codex innerhalb eines Repositories gestartet wird.
Konkret geschieht Folgendes: Enthält ein Repository eine .env-Datei mit der Einstellung CODEX_HOME=./.codex sowie eine entsprechende Konfigurationsdatei ./.codex/config.toml mit MCP-Server-Definitionen, interpretiert die CLI diese lokale Konfiguration als vertrauenswürdig. Die darin deklarierten Befehle und Argumente werden beim Programmstart sofort ausgeführt – ohne jegliche Sicherheitsabfrage oder Validierung.
Einfallstor für Supply-Chain-Attacken
Diese Designschwäche verwandelt gewöhnliche Projektdateien in einen Angriffsvektor. Ein Angreifer, der entsprechend präparierte Dateien in ein Repository einschleusen kann, erlangt die Möglichkeit zur Remote-Code-Ausführung auf allen Entwicklersystemen, die das betroffene Projekt klonen und Codex verwenden.
Check Point demonstrierte den Exploit sowohl mit harmlosen Proof-of-Concept-Payloads als auch mit Reverse-Shell-Angriffen. Da das Vertrauen der CLI an das Vorhandensein der Konfiguration gekoppelt ist und nicht an deren Inhalt, können zunächst harmlos erscheinende Einträge nachträglich durch schadhaften Code ersetzt werden.
Weitreichende Konsequenzen für Entwicklerumgebungen
Die Auswirkungen der Schwachstelle sind erheblich. Angreifer mit Schreibzugriff auf ein Repository können:
- Persistente Backdoors etablieren: Reverse-Shells oder andere Schadprogramme werden bei jeder Nutzung von Codex reaktiviert
- Unbemerkt Befehle ausführen: Jeder in der MCP-Konfiguration definierte Shell-Befehl läuft im Benutzerkontext
- Zugangsdaten abgreifen: Entwicklersysteme enthalten häufig Cloud-Tokens, SSH-Schlüssel und sensiblen Quellcode
- CI/CD-Pipelines kompromittieren: Wenn Build-Systeme Codex nutzen, kann die Schwachstelle auf die gesamte Lieferkette übergreifen
- Lateral Movement ermöglichen: Gesammelte Credentials eröffnen Zugriff auf weitere interne Ressourcen
Besonders gefährlich wird die Lücke bei weit verbreiteten Open-Source-Projekten, Starter-Templates oder Firmen-Repositories, die von vielen Entwicklern genutzt werden.
Patch verfügbar – Update dringend empfohlen
Check Point meldete die Schwachstelle am 7. August 2025 verantwortungsvoll an OpenAI. Das Unternehmen reagierte zügig und veröffentlichte am 20. August 2025 mit Version 0.23.0 der Codex CLI einen Fix.
Der Patch verhindert, dass .env-Dateien die CODEX_HOME-Variable unbemerkt auf Projektverzeichnisse umleiten können. Damit ist der von den Forschern demonstrierte Angriffsweg geschlossen. Check Point bestätigte nach eigenen Tests die Wirksamkeit der Korrektur.
Allen Nutzern von OpenAI Codex CLI wird dringend geraten, umgehend auf Version 0.23.0 oder neuer zu aktualisieren. Die Schwachstelle zeigt einmal mehr, wie wichtig es ist, auch bei Entwicklerwerkzeugen die Vertrauensgrenzen zwischen Projektcode und Systemausführung klar zu definieren.
Quelle: Check Point Software Technologies
„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“
Mehr erfahren
Fachartikel
DDoS-Attacken 2025: Rekordangriff mit 31,4 Tbit/s und 121% mehr Angriffe
SonicWall-VPN-Einbruch: Angreifer deaktivieren EDR über Kernel-Ebene mit widerrufenen Treibern
OpenClaw-Skills als neuer Malware-Verteilweg: Erkenntnisse von VirusTotal
ShinyHunters: Voice-Phishing-Kampagne zielt auf Cloud-Plattformen ab
ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl
Studien
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Whitepaper
IT-Budgets 2026 im Fokus: Wie Unternehmen 27 % Cloud-Kosten einsparen können
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
