OpenAI Codex CLI Command Injection Vulnerability Let Attackers Execute Arbitrary Commands
2025/12/01 CyberSecurityNews — OpenAI が公表したのは、Codex CLI ツールのコマンド・インジェクション脆弱性の修正に関する情報である。この脆弱性を悪用する攻撃者は、悪意のコンフィグ・ファイルをプロジェクト・リポジトリに配置するだけで、開発者のマシン上で任意のコマンド実行の可能性を得る。この問題は、すでに Codex CLI バージョン 0.23.0 で修正されている。修正前の Codex CLI では codex コマンドの日常的な使用が、サイレントなリモート・コード実行のトリガーとなっていた。
Codex CLI は、OpenAI のターミナル・ベースのコーディング・エージェントであり、Model Context Protocol (MCP) を介して外部ツールを統合しながら、コードを読取/編集/実行するように設計されている。
Check Point Research (CPR) が発見したのは、この CLI がプロジェクトのローカル・コンフィグを暗黙的に信頼していることだった。それにより、起動時にユーザーの承認を必要とすることなく、MCP サーバ定義が自動的に読み込まれ、実行されることがあった。この動作により、”.env” や “.codex/config.toml” といった通常のリポジトリ・ファイルが、実行プリミティブに変換される可能性が生じる。
OpenAI Codex CLI の脆弱性
CPR による分析で明らかにされたのは、リポジトリ内に “CODEX_HOME=./.codex” を設定する “.env” ファイルと、”mcp_servers” エントリを含む “./.codex/config.toml” ファイルが存在する場合に、そのコンフィグが対象となるフォルダに展開されることだ。つまり、リポジトリで Codex が起動されるたびに、設定されたコマンドと引数が即座に実行される状況にあった。
コマンド変更時の二次的な検証や再承認が存在しないため、コミット権限またはプル・リクエスト権限を持つ攻撃者は、無害に見えるコンフィグ・ファイルを埋め込み、その後に悪意のペイロードに置き換えることが可能であった。
CPR の PoC エクスプロイトが実証したのは、Codex 起動直後の macOS Calculator の起動であり、ユーザー環境での任意のコマンド実行が確認された。
Codex は開発者権限で実行されるため、Codex が起動されるたびに改変されたリポジトリでは、リバース・シェルの確立/SSH キーやクラウド・トークンの窃取/ソースコードの改竄などの可能性が生じる。
この攻撃経路は、サプライ・チェーン攻撃でも悪用され得る。つまり、Codex を利用するテンプレート/スターター・リポジトリ/CI パイプラインには、追加の操作を必要とすることなく、数多くの下流環境へとバックドアを拡散させる可能性がある。
CPR が警告するのは、プロジェクト管理下のファイルが信頼できる実行マテリアルとして扱われるため、この脆弱性により重要なセキュリティ境界が崩壊していることだ。
2025年8月7日の時点で CPR は、この問題を OpenAI に非公開で報告し、OpenAI は 2025年8月20日に、修正版を Codex CLI 0.23.0 としてリリースした。この修正により、”.env” ファイルが CODEX_HOME をプロジェクト・ディレクトリに密かにリダイレクトする行為が阻止され、研究者たちが実証した自動実行チェーンは遮断された。
CPR による検証でも、軽減策の有効性が確認されている。すべての Codex ユーザーに対して強く推奨されるのは、バージョン 0.23.0 以降へのアップグレードである。それに加えて、リポジトリ・レベルの MCP コンフィグは、機密性の高いレビュー対象として扱う必要がある。
プロジェクト内のコンフィグを、Codex CLI が暗黙的に信頼してしまう設計が原因となる脆弱性です。特に、起動時にユーザーの確認なしで外部サーバ設定が読み込まれ、任意のコマンドが実行されてしまう点は、とても注意すべき挙動だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、OpenAI での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.