- BeyondTrust Phantom LabsがOpenAIのChatGPT Codexの重大なコマンドインジェクション欠陥を発見
- 悪意のあるブランチ名を介して攻撃者がGitHub OAuthトークンを盗むことを可能にした脆弱性
- OpenAIがより強力な入力検証、シェルエスケープ、トークン制御でパッチを適用
セキュリティ専門家は、OpenAIのChatGPT Codexに重大なコマンドインジェクション脆弱性があり、脅威アクターが機密のGitHub認証トークンを盗むことを可能にしていたと主張しています。
これはBeyondTrustの研究部門であるPhantom Labsによるもので、その研究がOpenAIが欠陥を特定してパッチを適用するのを支援しました。
ChatGPT Codexは有名なチャットボット内のコーディング機能で、ユーザーが平文の指示を使用してソフトウェアを書いたり編集したりするのに役立ちます。ユーザーは人間の言語リクエストを動作するコードに変換したり、同じ方法で修正と改善を提案したりできます。
記事は下に続きます
AIエージェントを管理する方法
開発者がGitHubプロジェクトに変更を加えるとき、彼らは自分のコピーで行います。これはプロジェクトの別のブランチです。BeyondTrust Phantom Labsによると、問題はタスク作成中にCodexがブランチ名を処理する方法に由来しています。
明らかに、このツールは悪意のあるアクターがブランチパラメータを操作し、環境をセットアップする際に任意のシェルコマンドをインジェクトすることを許可していました。
これらのコマンドは、悪意のあるコマンドを含む、コンテナ内で任意のコードを実行できました。Phantom Labsは、このようにしてGitHub OAuthトークンを取得でき、理論的なサードパーティプロジェクトへのアクセスを獲得し、トークンを使用してGitHub内で横方向に移動できたと述べています。
残念ながら、さらに悪いことがあります。CodexのコマンドラインインターフェースSDK、および開発環境統合はすべて同じ方法で欠陥がありました。研究者たちは、GitHubブランチ名にマルウェアを埋め込むことで、同じプロジェクトで作業している多くの開発者を侵害できると述べています。
調査結果をOpenAIに責任を持って開示した後、同社は改善された入力検証、より強力なシェルエスケープ保護、およびコンテナ内のトークン露出に対するより良いコントロールで問題を修正しました。タスク作成中のトークンスコープと有効期間も制限されたと言われています。
AIコーディングエージェントは「機密認証情報と組織リソースにアクセスできるライブ実行環境」であると研究者は結論づけました。
「これらのエージェントは自律的に動作するため、セキュリティチームはコマンドインジェクション、トークン盗難、および大規模な自動化された悪用を防ぐため、AIエージェントアイデンティティを管理する方法を理解する必要があります。AIエージェントが開発ワークフローにより深く統合されるようになるにつれて、実行するコンテナのセキュリティとそれが消費する入力は、他のアプリケーションセキュリティ境界と同じ厳密さで扱う必要があります。」
そしてもちろんあなたもできます TikTokでTechRadarをフォローしてください ニュース、レビュー、ビデオ形式のアンボックスのため、そして WhatsApp から定期的な更新を受け取ってください。
