DARKNAVY 近日发现并报告了 OpenAI Codex 桌面端中一处严重的未授权代码执行漏洞。该漏洞绕过了 Codex 的默认权限限制,攻击者仅需诱导用户打开恶意构造的代码仓库/文件夹,即可在无需用户任何授权的情况下静默触发代码执行。该漏洞目前尚未修复,且社区已出现第三方复现案例,建议广大开发者与企业用户保持警惕,切勿随意打开未确认来源的代码仓库,以防源码等关键数据资产泄露。
背景与生态威胁
随着 Vibe Coding 时代的到来,OpenAI Codex、Claude Code 等 AI Coding Agent 凭借其强大的自动化编程能力,已成为众多开发者高频使用的生产力工具。据 OpenAI 官方数据披露,Codex 的周活跃用户数已突破 200 万[1]。然而,伴随其市场渗透率的上升,此类 Agent 工具的自身安全机制正面临严峻挑战。
在近期公布的全球顶级黑客大赛 Pwn2Own 2026 规则中,首度增设了“Coding Agent”挑战类别,覆盖 Codex、Claude Code、Cursor 主流工具[2]。官方明确指出,攻击场景包含“通过与攻击者控制的网页、代码仓库或媒体文件交互以实现漏洞利用”,并为此类目标设立了数万美元的漏洞利用奖金。这一举措标志着 Coding Agent 的安全威胁已引起国际安全社区的高度关注。
Pwn2Own Berlin 2026 Coding Agent Category Targets
打破默认信任边界的“静默执行”
基于对AI安全的攻防实战和多年前沿安全对抗经验,DARKNAVY 团队在 OpenAI Codex 桌面应用中发现了一处高危漏洞。该漏洞的危险之处在于,它打破了当前 AI Agent 应用的安全预期:
安全机制绕过: 在 Codex 的默认权限(Default Permission)模型下,任何涉及本地命令执行的操作,通常都会触发系统弹窗并经过用户的明确点击允许。然而,该漏洞能够完全绕过这一核心安全防御机制。
零授权触发: 用户无需执行任何危险操作,仅仅是执行“打开文件夹”或“加载代码项目”这些最常规的日常开发动作,恶意代码便会在后台静默执行。整个过程没有任何“允许执行”的授权提示,用户处于完全无感知的状态。
漏洞状态: 截至本预警发布前,DARKNAVY 已确认 OpenAI Codex 的最新版本 26.313.41514 (1043) 仍存在该漏洞,官方尚未发布修复补丁。
鉴于该漏洞攻击门槛极低且受众基数庞大,DARKNAVY 特此发布安全预警。在官方发布正式修复补丁前,建议所有 Vibe Coding 开发者采取以下临时防护措施:
谨慎审查外部项目: 在使用 Codex 等 AI 编程助手打开未知来源或不受信任的第三方开源仓库、文件夹前,务必在安全环境中进行审查。
警惕社工钓鱼: 警惕通过邮件、社群分享等渠道传播的不明工程文件。
回顾行业现状,同类产品 Claude Code 此前也曾被海外安全团队披露过类似的用户未授权代码执行漏洞。Anthropic 官方最终将其评定为高危(CVSS 8.7 HIGH)并分配了 CVE-2025-59536 编号[3]。 截至目前,OpenAI 团队尚未对 DARKNAVY 提交的漏洞报告及演示作出回应。颇具讽刺意味的是,OpenAI 不久前刚刚公开宣称利用其“Codex Security”能力挖掘了上万个高危漏洞(high-severity findings)[4]。作为AI在安全领域应用的主要推进者,为何未能将同等防护能力有效反哺于自身的核心产品,或许值得深思。
附加提醒
在 Claude Code、Cursor、VSCode 等主流编程助手/IDE 中,当用户点击“信任当前目录(Trust Workspace)”后,部分工具也会自动触发并执行项目中的特定代码。而此次 Codex 暴露的漏洞表明,即便在未显式授权的情况下,AI 驱动的开发工具仍可能引入严重安全风险。在此呼吁广大开发者,在引入未审计的外部依赖时务必保持安全敏感性。
参 考:
[1] https://x.com/fidjissimo/status/2033537381907710092
[2] https://www.zerodayinitiative.com/Pwn2OwnBerlin2026Rules.html
[3] https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/
[4] https://openai.com/index/codex-security-now-in-research-preview/
声明:本文来自DARKNAVY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
