FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述：恶意.env文件可劫持配置路径

研究人员发现，克隆仓库中的.env文件可被用于修改Codex CLI主目录路径，加载恶意配置文件，最终导致任意命令执行。这一案例揭示了AI工具如何扩大开发机器的攻击面。

网络安全公司CheckPoint研究人员在报告中指出："该漏洞可在开发者针对仓库运行codex的任何环境中实现静默、可重复的远程代码执行。攻击者通过滥用项目本地配置加载机制，只需提交一个commit或PR，就能将原本无害的仓库转变为持久后门，在开发者运行codex时自动触发，无需额外提示或审批。"

OpenAI已收到漏洞报告，并在Codex CLI 0.23.0版本中修复该问题，阻止.env文件静默重定向CODEX_HOME环境变量至攻击者控制的路径。

攻击原理：利用MCP协议执行恶意命令

与所有AI辅助编程工具类似，Codex拥有较高权限，需要直接从终端读取、编辑和运行代码。默认模式下，该工具可在工作目录内无需批准执行任务，但用户可将其更改为只读或完全访问模式。

CheckPoint研究团队发现了一种巧妙的滥用方式：

1. Codex CLI启动时会检查.codex/config.toml配置文件中的mcp_servers条目，加载并执行配置的MCP（Model Context Protocol）服务器
2. 攻击者若修改该文件，可通过添加恶意MCP服务器条目强制Codex执行任意命令
3. 通过仓库中的.env文件重定向CODEX_HOME环境变量至攻击者控制的.codex目录，即可实现配置文件替换

研究人员演示了将MCP服务器条目中的良性命令替换为创建文件或打开反向shell的恶意命令，这些操作在默认配置下无需用户批准即可执行。

多重攻击场景与潜在危害

要利用此漏洞需满足两个条件：受害者克隆仓库并运行Codex，攻击者拥有仓库提交权限或恶意PR被接受。研究人员警告："被入侵的模板、初始仓库或热门开源项目可通过单次提交影响大量下游用户。"

更严重的是，当CI工具或构建Agent自动对检出代码运行Codex时，攻击可能从开发者工作站传播至构建产物和代码部署环境。开发机器通常存有各类云服务API令牌、SSH密钥和专有源代码，这些都可能被窃取并用于横向移动。

研究团队指出："这打破了CLI预期的安全边界——项目提供的文件成为受信任的执行材料，而开发者只需遵循标准工作流程，这种隐式信任就可能被轻易利用。"

AI编程工具的安全启示

尽管Codex CLI现已修复该漏洞，但此事件表明领先AI公司开发的工具同样可能存在安全疏忽。近期研究人员还披露了Google Antigravity IDE和Cursor编辑器中的类似风险。

企业应制定政策规范AI编程工具和IDE的自动化级别，安全专家多次警告不要使用无需人工审核执行步骤的全自动模式。这些工具若存在漏洞或配置不当，极易成为强大后门。

参考来源：

RCE flaw in OpenAI’s Codex CLI highlights new risks to dev environments

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）