Schwachstelle

Kritische Lücke in OpenAI Codex CLI: Unsichtbarer Lieferketten-Angriff gefährdete Entwickler weltweit

, Check Point | Autor: Herbert Wieler

Kritische Lücke in OpenAI Codex CLI: Unsichtbarer Lieferketten-Angriff gefährdete Entwickler weltweit

Check Point meldet kritische CVE

Eine neu entdeckte Schwachstelle in OpenAI Codex CLI – gemeldet unter der Kennung CVE-2025-61260 – hat gezeigt, wie Angreifer allein über manipulierte Projektdateien unbemerkt Schadcode einschleusen und ausführen konnten. Die Lücke eröffnete Möglichkeiten für stille Remote-Code-Ausführung, die Infiltration von Entwicklungsumgebungen und den Diebstahl sensibler Daten. Gleichzeitig macht sie deutlich, wie sich eine neue Art unsichtbarer Angriffe in der Software-Lieferkette entwickelt.

Die Security-Forscher von Check Point Research (CPR), der Analyseabteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), haben eine schwerwiegende Verwundbarkeit im Command-Line-Tool OpenAI Codex CLI entdeckt. Das Tool integriert KI-gestützte Programmierfunktionen direkt in Entwickler-Workflows. Besonders heikel: Die Ausnutzung der Lücke erforderte keinerlei Interaktion des Nutzers – das bloße Öffnen eines präparierten Projektordners genügte, um Remote Code Execution (RCE) auszulösen. Im Rahmen ihrer Untersuchung wollten die Forschenden klären, ob Codex CLI sicher mit projektbezogenen Konfigurationen umgeht, die beim Start automatisch geladen werden. Dabei stellte sich heraus, dass das Tool lokalen Projektdateien zu stark vertraut – und dieses Vertrauen konnte von Angreifern missbraucht werden.

Check Point Research meldete die Schwachstelle am 7. August 2025 an OpenAI. Am 20. August 2025 veröffentlichte OpenAI mit Version 0.23.0 einen Patch, der den Angriffspfad zuverlässig schließt. CPR hat die Wirksamkeit des Updates bestätigt.

Wie die Schwachstelle funktionierte

Bei ihren Tests entdeckte CPR, dass Codex CLI automatisch MCP-Konfigurationen aus einem Projekt lädt und ausführt, sobald Codex in diesem Repository gestartet wird. Enthält ein Projekt beispielsweise eine .env-Datei mit CODEX_HOME=./.codex und zusätzlich eine passende ./.codex/config.toml, übernimmt Codex CLI diese Konfiguration ohne jede Rückfrage und behandelt die enthaltenen MCP-Einträge wie vertrauenswürdigen Code.

Dadurch konnten Angreifer Repository-Dateien in einen Ausführungsvektor verwandeln. Über einen simplen Commit oder Pull Request ließ sich eine rückrufbare Hintertür einschleusen, die beim Start von Codex automatisch aktiv wurde. CPR belegte dies sowohl mit harmlosen Testaktionen (z. B. dem Erstellen von Dateien) als auch mit bösartigen Nutzdaten wie Reverse-Shells – alles ohne sichtbare Benutzerinteraktion. Besonders gefährlich: Codex vertraut dem Speicherort der MCP-Einträge, nicht deren Inhalt. So konnte ein zunächst unauffälliger Eintrag später unbemerkt durch Schadcode ersetzt werden. Die Folge: eine stabile, reproduzierbare Hintertür im Entwicklungsworkflow.

Warum die Folgen so gravierend sind

Die Lücke ermöglichte unbemerktes, wiederholbares Ausführen von Schadcode in jeder Umgebung, in der Entwickler Codex verwenden. Ein Angreifer mit Commit- oder PR-Rechten hätte:

  • Persistenten Fernzugriff erhalten können: Etwa durch eine Reverse-Shell, die sich bei jedem Start von Codex automatisch öffnet.
  • Befehle ohne Hinweis ausführen können: Jeder definierte MCP-Befehl wird sofort beim Start ausgeführt.
  • Wertvolle Daten abgreifen können: Entwicklerrechner enthalten häufig Zugangstokens, SSH-Keys oder proprietären Quellcode.
  • Schadcode nachträglich austauschen können: Harmloser Eintrag heute, Hintertür morgen – ohne dass jemand es bemerkt.
  • Die Lieferkette kompromittieren können: Manipulierte Starter-Repos oder Open-Source-Projekte hätten viele weitere Nutzer infiziert.
  • CI/CD-Pipelines angreifen können: Wird Codex in automatisierten Builds ausgeführt, wandert der Angriff direkt in Artefakte und Deployments.
  • Seitwärtsbewegungen durchführen können: Mit erbeuteten Anmeldedaten wären weitere Systeme gefährdet.

Kurz gesagt: Die sonst schützende Grenze zwischen Entwicklungsdateien und tatsächlicher Codeausführung wurde praktisch aufgehoben.

Einordnung durch die Experten

Oded Vanunu, Chief Technologist und Leiter der Produktverwundbarkeitsforschung bei Check Point Software Technologies , beschreibt das Problem so: „Diese Sicherheitslücke markiert eine neue Stufe der Bedrohung. Angreifer müssen nicht länger direkt in die Infrastruktur eindringen. Es genügt, das Vertrauen auszunutzen, das Entwicklerwerkzeuge ihren Projektdateien entgegenbringen. Wenn ein KI-Tool Dateien ohne Prüfung lädt und ausführt, verliert ein Unternehmen die Kontrolle über einen seiner alltäglichsten Prozesse. Organisationen müssen stärker darauf achten, was in die Pipeline gelangt – nicht erst darauf, was sie erzeugt.“

Verantwortungsvolle Offenlegung und Empfehlung

Check Point Research informierte OpenAI am 7. August 2025. Der Fix wurde am 20. August 2025 im Update Codex CLI v0.23.0 bereitgestellt. Die Änderungen verhindern zuverlässig, dass .env-Dateien den Speicherpfad CODEX_HOME manipulieren können.

Alle Nutzer sollten schnellstmöglich auf Codex CLI Version 0.23.0 oder höher aktualisieren, um vollständig geschützt zu sein.