![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Kleiner Infosplitter, der mir von den Sicherheitsforschern von Check Point Research (CPR) zugegangen ist. Die sind k\u00fcrzlich in OpenAIs Codex CLI auf die kritische Sicherheitsl\u00fccke CVE-2025-61260 gesto\u00dfen. Diese erm\u00f6glichte Angriffe \u00fcber lokale Projektdateien, stille Code-Ausf\u00fchrung, Infiltration und Datenklau.<\/p>\n
<\/p>\n
Laut Beschreibung wurde Codex CLI f\u00fcr Entwickler geschaffen, die bereits im Terminal arbeiten und ChatGPT-\u00e4hnliche Schlussfolgerungen sowie die M\u00f6glichkeit w\u00fcnschen, Code auszuf\u00fchren, Dateien zu bearbeiten und Iterationen durchzuf\u00fchren \u2013 alles unter Versionskontrolle. Kurz gesagt handelt es sich um eine chatgesteuerte Entwicklung, die ein Repository versteht und ausf\u00fchrt.<\/p>\n Es sei keine Einrichtung erforderlich, einfach den OpenAI-API-Schl\u00fcssel eingeben, und schon funktioniert es. Es gebe eine vollautomatische Genehmigung, sicher und gesch\u00fctzt durch Netzwerk-Deaktivierung und Verzeichnis-Sandboxing. Man k\u00f6nne Screenshots oder Diagramme, um Funktionen zu implementieren. Und alles ist vollst\u00e4ndig Open Source, sodass Sie die Entwicklung mitverfolgen und dazu beitragen k\u00f6nnen, hei\u00dft es.<\/p>\n Sucht man noch ein wenig weiter, st\u00f6\u00dft man auf den Beitrag\u00a0Codex CLI installieren und nutzen: OpenAI's Antwort auf Claude Code<\/a>, der den Einsatz erkl\u00e4rt. Ein paar Anweisungen im Terminal eintippen und dann wird eine App generiert. Und der Artikel\u00a0Vibe Coding mit Codex CLI<\/a> klingt irgendwie auch vielversprechend f\u00fcr OpenAI KI-Nerds. Was soll da schon schief gehen?<\/p>\n In einer Forschungsinitiative pr\u00fcfte CPR, ob Codex die von Projekten bereitgestellten Konfigurationen und Umgebungs\u00fcberschreibungen, die zur Laufzeit automatisch geladen werden, sicher handhabt. Weiterhin testete CPR, ob Angreifer das automatische Vertrauen des CLI in nicht \u00fcberpr\u00fcfte Projektdateien in gemeinsamen Entwicklungsumgebungen ausnutzen k\u00f6nnen.<\/p>\n Bei Tests haben die Sicherheitsforscher von Check Point Research dann festgestellt, dass Codex CLI automatisch MCP-Servereintr\u00e4ge aus einer projektlokalen Konfiguration l\u00e4dt und ausf\u00fchrt, wenn Codex innerhalb dieses Repositorys ausgef\u00fchrt wird, schreiben sie in diesem Artikel<\/a>. Codex CLI l\u00f6st seine Konfiguration in diesem lokalen Ordner auf, analysiert die MCP-Definitionen und ruft den deklarierten Befehl\/die deklarierten Argumente sofort beim Start auf. Es gibt keine interaktive Genehmigung, keine sekund\u00e4re Validierung des Befehls oder der Argumente und keine erneute \u00dcberpr\u00fcfung, wenn sich diese Werte \u00e4ndern \u2013 die CLI behandelt die projektlokale MCP-Konfiguration als vertrauensw\u00fcrdiges Ausf\u00fchrungsmaterial.<\/p>\n In der Praxis gelang es den Sicherheitsforschern mit deterministischen Payloads (Dateierstellung) und durch Ersetzen harmloser Befehle durch Reverse-Shell-Payloads die Schwachstelle zu demonstrieren. Beide Payloads wurden ohne Benutzeraufforderungen ausgef\u00fchrt. Da das Verhalten das Vertrauen an das Vorhandensein des MCP-Eintrags unter dem aufgel\u00f6sten CODEX_HOME und nicht an den Inhalt des Eintrags bindet, kann eine zun\u00e4chst harmlose Konfiguration nach der Genehmigung oder nach dem Merge gegen eine b\u00f6sartige ausgetauscht werden, wodurch eine heimliche, reproduzierbare Backdoor in der Lieferkette entsteht, die bei normalen Entwickler-Workflows ausgel\u00f6st wird.<\/p>\n Ein erfolgreicher Exploit erm\u00f6glicht die Ausf\u00fchrung beliebiger Befehle auf jedem Entwicklerrechner, der ein infiziertes Code-Repository klont und Codex ausf\u00fchrt. Dadurch waren Angriffe \u00fcber lokale Projektdateien, stille Code-Ausf\u00fchrung, Infiltration und Datenklau m\u00f6glich.\u00a0Ein Angreifer mit Commit- oder PR-Zugriff konnte:<\/p>\n Oded Vanunu, Chief Technologist und Head of Product Vulnerability Research bei Check Point, kommentiert: \"Diese Sicherheitsl\u00fccke bringt Cyberbedrohungen auf eine neue Ebene. Angreifer m\u00fcssen nicht mehr in die Infrastruktur eindringen, sondern nutzen einfach das Vertrauensmodell rund um Entwicklungswerkzeuge aus. Wenn ein KI-Tool Dateien ohne Validierung l\u00e4dt und ausf\u00fchrt, verliert das Unternehmen die Kontrolle \u00fcber einen seiner routinem\u00e4\u00dfigsten Prozesse. Unternehmen m\u00fcssen \u00fcberpr\u00fcfen, was in die Pipeline gelangt, und nicht nur, was sie verl\u00e4sst.\"<\/p>\n Die Schwachstelle CVE-2025-61260<\/a> betrifft OpenAIs Codex CLI vor Version 0.23.0 und zeigt eine neue Art unsichtbarer Lieferketten-Angriffe auf.\u00a0Check Point Research informierte OpenAI am 7. August 2025 \u00fcber den Fund.<\/p>\n OpenAI ver\u00f6ffentlichte am 20. August 2025 in Codex CLI v0.23.0 einen Fix, der die automatische Umleitung von CODEX_HOME durch .env-Dateien blockiert und damit den Angriffspfad schlie\u00dft. Die Details lassen sich im CheckPoint-Artikel\u00a0CVE-2025-61260 \u2014 OpenAI Codex CLI: Command Injection via Project-Local Configuration<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" Kleiner Infosplitter, der mir von den Sicherheitsforschern von Check Point Research (CPR) zugegangen ist. Die sind k\u00fcrzlich in OpenAIs Codex CLI auf die kritische Sicherheitsl\u00fccke CVE-2025-61260 gesto\u00dfen. Diese erm\u00f6glichte Angriffe \u00fcber lokale Projektdateien, stille Code-Ausf\u00fchrung, Infiltration und Datenklau.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8625,426,7459],"tags":[8382,8563,4328,3836],"class_list":["post-319095","post","type-post","status-publish","format-standard","hentry","category-ai","category-sicherheit","category-software","tag-ai","tag-openai","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=319095"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319095\/revisions"}],"predecessor-version":[{"id":319101,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/319095\/revisions\/319101"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=319095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=319095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=319095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Von Check Point Research hatte ich nur geh\u00f6rt, dass Codex CLI das Command Line-Tool von OpenAI sei, das KI-gest\u00fctzte Programmierfunktionen direkt in Entwickler-Workflows integriert. Ich habe dann noch ein wenig im Web gesucht und die (alte) Codex CLI-Webseite<\/a> auf GitHub gefunden. Die Seite enth\u00e4lt noch die Dokumentation f\u00fcr die alte TypeScript-Implementierung der Codex-CLI. Sie wurde durch die Rust-Implementierung ersetzt.<\/p>\n
Die Schwachstelle CVE-2025-61260<\/h2>\n
\n