CodexのコマンドインジェクションとChatGPTの隠れたアウトバウンドチャネルが認証情報盗難と秘密のデータ流出のリスクを露呈
OpenAIは、AIエージェントが機密データを意図しない方法で移動させる可能性がある、AIスタック内の2つの欠陥を修正しました。
BeyondTrustとCheck Point Researchの研究者によって開示されたこれらの問題は、OpenAI CodexコーディングエージェントとそれぞれChatGPTのコード実行環境に影響します。1つはコマンドインジェクションを通じてGitHubトークン盗難を可能にし、もう1つはユーザーデータを静かに流出させるための隠れたチャネルを公開しました。
両方のバグは現在修正されていますが、研究者は、AIツールに自律性を与えてコードを実行し、外部システムと相互作用させることは長期的なリスクを生み出し、攻撃者がモデル自体を破壊することなく悪意のあるアクションを実行できるようになることを警告しています。
Codexコマンドインジェクションがブランチ名をバックドアに変える
BeyondTrustの研究者は、クラウドコンテナでタスクを実行するOpenAIのコーディングエージェントであるCodexが、GitHubブランチ名パラメータに関するコマンドインジェクションバグに脆弱であることを発見しました。
Codexがタスクを試みると、リポジトリをクローンし、短命のGitHubトークンを使用して認証します。問題はこのセットアップフェーズ中にユーザー制御の入力がどのように処理されたかに由来しました。具体的には、ブランチ名パラメータが適切にサニタイズされておらず、攻撃者が任意のシェルコマンドを環境に注入することが可能でした。
悪意を持って作成されたブランチ名は、コンテナ内でコードを実行し、Codexがリポジトリへのアクセスに使用したトークンを公開する可能性があります。研究者は、トークンがその後タスク出力または外部ネットワークリクエストを通じて流出する可能性があることを実証しました。
これは事実上、ルーチンの開発者ワークフローを潜在的な認証情報盗難ベクトルに変えます。GitHubトークンはしばしば非公開リポジトリへの幅広いアクセスを許可し、サプライチェーン攻撃で非常に価値があります。
BeyondTrustブログの投稿によると、問題はOpenAIに開示され、脆弱なパラメータの周りの入力検証を厳しくし、実行環境でコマンドがどのように構築されるかを強化することで迅速に対応しました。修正は公開前にロールアウトされ、アクティブな悪用の証拠は報告されていません。
入力検証の失敗はAIワークフローとともに増加したようで、古典的なコマンドインジェクションの脆弱性につながっています。
OpenAIは、認証情報盗難を超えたChatGPTの並列バグを修正したと報じられています。Check Point研究者は、単一の悪意のあるプロンプトでトリガーされる可能性があるChatGPTのコード実行ランタイムの隠れたアウトバウンド通信パスを発見しました。
このチャネルは、外部データ共有の周りのプラットフォームの期待されるセーフガードを正常にバイパスしました。明示的なユーザー承認を要求する代わりに、ランタイムはチャットメッセージ、アップロードされたファイル、または生成された出力などのデータを、見えるアラートなしで外部サーバーに送信できていました。
CheckPoint研究者は、この動作を活用するプロンプトを作成し、ランタイムが非公開チャットデータを外部サーバーにパッケージ化して送信できるようにすることを実証しました。基本的に、通常に見える会話は秘密のデータ流出パイプラインに変わる可能性があります。
同じメカニズムは、バックドアまたは悪意のあるカスタムGPTによって悪用される可能性があり、ユーザーの認識なしに機密情報を吸い出すことができます。研究者は述べており、チャネルは実行環境内でリモートシェルアクセスを確立するために使用される可能性があることを追加しました。
アクティブな悪用は報告されていませんが、研究者は重大な影響を指摘しています。OpenAIはCodexの欠陥パッチと同じ時期に、コード実行環境のアウトバウンド通信の周りの制御を厳しくすることで問題を修正しました。
OpenAIは、いずれかの欠陥についてのCSOのコメント要求にはすぐに応じませんでした。
