OpenAI Codex Desktop App for macOS Vulnerability Allows Attackers to Inject Indirect Prompt
2026/07/07 CyberSecurityNews — 最近 GitHub Advisory Database に登録された情報によると、OpenAI Codex for macOS デスクトップ・アプリケーションの新たな脆弱性 CVE-2026-14898 を悪用する攻撃者は、間接プロンプト・インジェクションの手法を介して、機密性の高いデータを外部へ持ち出す可能性がある。この問題は、モデル生成レスポンス内の Markdown コンテンツを、Codex アプリが処理する方法に起因するものである。このアプリケーションは、Markdown に埋め込まれたリモート画像を、明示的なユーザー操作なしに自動的にレンダリングする。

OpenAI Codex macOS アプリの脆弱性
プロンプト・インジェクション攻撃と、この動作が組み合わさることで予期しないデータ漏洩経路が生み出される。モデルの出力に影響を及ぼす悪意の入力が作成され、Codex により信頼できないコンテンツとして処理される場合に、この脆弱性により、攻撃者は間接プロンプト・インジェクションの機会を得る。その結果として、パラメータに機密データを埋め込んだ、リモート画像 URL を生成することが可能になる。
Codex デスクトップ・アプリがレスポンスをレンダリングすると、攻撃者が制御するサーバからリモート画像が自動的に取得される。この処理において、埋め込まれた機密データはリクエストの一部として送信され、その結果として、ユーザーが認識/同意しない状況で機密情報が漏洩する。
この種の攻撃は、直接的なユーザー操作を必要としないため、特に懸念される。ユーザーによるリンク・クリックやリクエストの承認を必要とせずに、バックグラウンドで画像の取得は静かに実行される。その結果、この脆弱性は、ステルス性の高いデータ送信経路を生み出す。
GitHub Advisory によると、漏洩するデータには、API キー/独自のソースコード/Codex セッション内で接続済みツールを通じて取得された情報がある。Codex は、機密性の高いリポジトリや認証情報へアクセスする開発環境で利用されることが多いため、大きな影響が生じる恐れがある。なお、この脆弱性は、権限のない第三者への機密情報の露出を指す CWE-200 に分類されている。
現時点で、公式の CVSS スコアは割り当てられていない。しかし、この欠陥の性質が示すのは、Codex が特権システムまたは開発ワークフローと統合される環境での、深刻な機密情報の漏洩のリスクである。
この情報の開示時点では、修正済みバージョンは特定されず、影響を受けるバージョンの一覧も明らかにされていないが、実環境での悪用の証拠も確認されていない。 AI システムに対するプロンプト・インジェクション攻撃への注目が高まっている中で、修正が提供されていないことから、この脆弱性はセキュリティ・チームにとって重要な課題となっている。
この問題が示すのは、AI を活用したアプリケーションを保護する上で、広範な課題が存在することだ。従来のソフトウェア脆弱性とは異なり、プロンプト・インジェクションは、ユーザー入力/モデルの挙動/アプリケーション・ロジックの相互作用を悪用するものである。このケースでは、自動コンテンツ・レンダリングとモデル生成出力の組み合わせが、意図しない攻撃対象領域を生み出している。
たとえば、開発者が Codex を用いてログの分析や外部ツールからのデータの取得を実行する場合に、攻撃者が制御する入力を、知らないうちに処理する可能性がある。その入力に隠されたプロンプト・インジェクションが含まれていると、モデルにより機密性の高いセッション・データを含む悪意の画像 URL を含むレスポンスが生成され、その URL に埋め込まれた機密データが自動的に送信される可能性がある。
セキュリティ専門家が推奨するのは、信頼できないコンテンツの処理を制限し、AI が生成した出力のレンダリング方法を確認するとともに、リモート・リソースの自動取得を無効化するなどの保護策を講じることだ。また、アウトバウンド・ネットワーク・リクエストを監視し、機密データへのアクセスを分離することも、悪用リスクの低減につながる。
AI 支援型開発ツールの採用が拡大し続ける中、CVE-2026-14898 のような脆弱性が浮き彫りにするのは、従来型と AI 固有の両方の攻撃ベクターを考慮した、セキュアな設計プラクティスの必要性である。
訳者後書:OpenAI Codex for macOS における脆弱性 CVE-2026-14898 は、レスポンス内の Markdown に含まれるリモート画像を、 ユーザーの操作なしで自動的に読み込んで表示してしまう処理方法に起因します。 この自動レンダリングの動作と、プロンプト・インジェクションという手法が組み合わさることで、深刻な問題が発生します。信頼できないデータをアプリが処理する際に、機密データが埋め込まれた画像 URL が攻撃者の指示により作られ、 バックグラウンドで自動的に通信が行われ、データが外部へ漏えいしてしまいます。 AI ツールの便利な自動表示機能が、意図しない抜け道となってしまう仕組みです。ご利用のチームは、ご注意ください。よろしければ、OpenAI での検索結果も、ご参照ください。
You must be logged in to post a comment.