4. Dezember 2025
Backdoor durch Projektkonfiguration + Sicherheitsforscher von Check Point Software Technologies haben eine kritische Schwachstelle im Kommandozeilen-Tool OpenAI Codex CLI aufgedeckt. Die unter CVE-2025-61260 geführte Lücke ermöglicht es Angreifern, über manipulierte Repository-Dateien beliebigen Code auf Entwicklersystemen auszuführen – ganz ohne Wissen oder Zustimmung der Nutzer.
Das KI-gestützte Entwicklerwerkzeug Codex CLI integriert maschinelles Lernen in den Arbeitsablauf von Programmierern und erlaubt die Interaktion mit Projekten über natürlichsprachige Kommandos. Eine zentrale Funktion ist das Model Context Protocol (MCP), das externe Tools und Services in die Entwicklungsumgebung einbindet.
Automatische Ausführung ohne Sicherheitsprüfung
Die Schwachstelle liegt in der Art und Weise, wie Codex CLI projektspezifische Konfigurationen verarbeitet. Check Point fand heraus, dass das Tool MCP-Server-Einträge aus lokalen Konfigurationsdateien automatisch lädt und ausführt, sobald Codex innerhalb eines Repositories gestartet wird.
Konkret geschieht Folgendes: Enthält ein Repository eine .env-Datei mit der Einstellung CODEX_HOME=./.codex sowie eine entsprechende Konfigurationsdatei ./.codex/config.toml mit MCP-Server-Definitionen, interpretiert die CLI diese lokale Konfiguration als vertrauenswürdig. Die darin deklarierten Befehle und Argumente werden beim Programmstart sofort ausgeführt – ohne jegliche Sicherheitsabfrage oder Validierung.
Einfallstor für Supply-Chain-Attacken
Diese Designschwäche verwandelt gewöhnliche Projektdateien in einen Angriffsvektor. Ein Angreifer, der entsprechend präparierte Dateien in ein Repository einschleusen kann, erlangt die Möglichkeit zur Remote-Code-Ausführung auf allen Entwicklersystemen, die das betroffene Projekt klonen und Codex verwenden.
Check Point demonstrierte den Exploit sowohl mit harmlosen Proof-of-Concept-Payloads als auch mit Reverse-Shell-Angriffen. Da das Vertrauen der CLI an das Vorhandensein der Konfiguration gekoppelt ist und nicht an deren Inhalt, können zunächst harmlos erscheinende Einträge nachträglich durch schadhaften Code ersetzt werden.
Weitreichende Konsequenzen für Entwicklerumgebungen
Die Auswirkungen der Schwachstelle sind erheblich. Angreifer mit Schreibzugriff auf ein Repository können:
- Persistente Backdoors etablieren: Reverse-Shells oder andere Schadprogramme werden bei jeder Nutzung von Codex reaktiviert
- Unbemerkt Befehle ausführen: Jeder in der MCP-Konfiguration definierte Shell-Befehl läuft im Benutzerkontext
- Zugangsdaten abgreifen: Entwicklersysteme enthalten häufig Cloud-Tokens, SSH-Schlüssel und sensiblen Quellcode
- CI/CD-Pipelines kompromittieren: Wenn Build-Systeme Codex nutzen, kann die Schwachstelle auf die gesamte Lieferkette übergreifen
- Lateral Movement ermöglichen: Gesammelte Credentials eröffnen Zugriff auf weitere interne Ressourcen
Besonders gefährlich wird die Lücke bei weit verbreiteten Open-Source-Projekten, Starter-Templates oder Firmen-Repositories, die von vielen Entwicklern genutzt werden.
Patch verfügbar – Update dringend empfohlen
Check Point meldete die Schwachstelle am 7. August 2025 verantwortungsvoll an OpenAI. Das Unternehmen reagierte zügig und veröffentlichte am 20. August 2025 mit Version 0.23.0 der Codex CLI einen Fix.
Der Patch verhindert, dass .env-Dateien die CODEX_HOME-Variable unbemerkt auf Projektverzeichnisse umleiten können. Damit ist der von den Forschern demonstrierte Angriffsweg geschlossen. Check Point bestätigte nach eigenen Tests die Wirksamkeit der Korrektur.
Allen Nutzern von OpenAI Codex CLI wird dringend geraten, umgehend auf Version 0.23.0 oder neuer zu aktualisieren. Die Schwachstelle zeigt einmal mehr, wie wichtig es ist, auch bei Entwicklerwerkzeugen die Vertrauensgrenzen zwischen Projektcode und Systemausführung klar zu definieren.
Quelle: Check Point Software Technologies
„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“
Mehr erfahren
Fachartikel
Mandantenübergreifende Wiederherstellung für Entra ID: Keepit bietet neue Testoption für Identitätsdaten
Keitaro Tracker im Missbrauch: Wie Cyberkriminelle KI-Investmentbetrug im großen Stil betreiben
Microsoft-Cloud GCC High: Wie FedRAMP eine kritisch bewertete Technologie für US-Behörden genehmigte
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Krypto-Köder: Wie Angreifer gekaperte YouTube-Kanäle zur RAT-Verteilung nutzen
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
