OAuthトークンはAI関連のセキュリティ侵害に頻繁に関わっています。研究者がOpenAI CodexとGitHubの関係を調べている際に難読化されたトークンを発見したとき、彼らは注目しました。
OpenAI CodexはLLMで、自然言語のプロンプト指示を動作するソースコードに変換するために設計されています。開発者がGitHubリポジトリと相互作用し、アイデアから新しいコードを生成したり、プルリクエストを実行したりする際に広く使用されています。
OAuthトークンはAIとの関係が複雑です。必要ではありますが、2025年のSalesloftインシデントでは主要な侵害ベクトルであり、700以上の組織の侵害につながりました。2026年3月、Grip SecurityはSaaS アプリにおけるシャドウAIとOAuthトークンに関する研究を公開し、1つの盗まれたトークンが同じSaaS アプリを使用する複数の企業全体で連鎖的な侵害を引き起こす可能性を説明しました。
弱点はトークンだけではなく、長期有効性で実装されたトークンです。BeyondTrustは発見した難読化されたトークンが短命で急速に期限切れになることをすぐに発見しました。それでも、それは一時的に表示されていました。研究者は、それがまだ有効な間にそれを抽出して悪用する方法を見つけることに決めました。
複数のアカウント全体で1つの盗まれたトークンの連鎖的な可能性は間違いなく魅力的でした。この場合、OAuthトークンを使用して、複数の組織の個人によってアクセスされる可能性があるGitHubリポジトリ(特にOSSリポジトリの場合)をターゲットにすることが可能でした。トークンは短命でしたが、トークンが期限切れになる前に、まず盗んでから悪用するためのオートメーションを使用することが理論的には可能でした。
BeyondTrustのPhantom Labs研究者は成功しました。これには、1つのGitHubリポジトリと相互作用する複数のユーザーを侵害するのに必要なオートメーションが含まれていました。これは一夜にして完成した研究プロジェクトではなく、長く複雑なものでした。研究の詳細はブログに報告されています。
研究者は、リポジトリ、ワークフロー、プライベートコードに関連するトークンにアクセスでき、共有環境を使用している企業全体での横展開の可能性があることを発見しました。オートメーションはスケールでの悪用を実現できました。
発見された脆弱性は、最終的にはCodexがタスク実行中にGitHubブランチ名をどのように処理するかにおける不適切なインプット検証に起因しています。GitHubブランチ名パラメータを通じて任意のコマンドを注入することにより、Phantom Labsはアタッカーがエージェントのコンテナ内で悪意のあるペイロードを実行し、機密認証トークンを取得できることを発見しました。
ステルス性と信頼性のために(脆弱性を実際に使用できることを証明するため)、研究者はUnicode文字を使用してさらに難読化されたペイロード技術を開発しました。これにより、悪意のあるコマンドがユーザーインターフェイスで目に見えて検出可能にならずに実行することができました。
BeyondTrustは2025年12月下旬に責任を持ってOpenAIに調査結果を開示し、OpenAIは迅速にすべての報告された問題を修正しました。この特定の脆弱性はOpenAI Codexに対してはもう機能しなくなります。しかし、この研究はAIとOAuthトークンの組み合わせがアタッカーに少なくとも2026年を通じて拡大する攻撃面と拡大するブラスト半径をもたらす方法をさらに示しています。
一方、BeyondTrustレポートによると、このストーリーの教訓は「AIコーディングエージェントは単なる生産性ツールではありません。それらは機密認証情報と組織リソースへのアクセス権を持つライブ実行環境です。これらのエージェントは自律的に動作するため、セキュリティチームはコマンド注入、トークン盗難、およびスケールでの自動悪用を防ぐためにAIエージェントIDを管理する方法を理解する必要があります。
「AIエージェントが開発者ワークフローにより深く統合されると、それらが実行するコンテナのセキュリティとそれらが消費するインプットは、他のアプリケーションセキュリティ境界と同じ厳密さで扱わなければなりません。攻撃面は拡大しており、これらの環境のセキュリティはペースを維持する必要があります。」
翻訳元: https://www.securityweek.com/critical-vulnerability-in-openai-codex-allowed-github-token-compromise/
