ثغرة في OpenAI Codex تسمح للمهاجمين بسرقة رموز الوصول إلى GitHub

أدى دمج وكلاء البرمجة المعتمدين على الذكاء الاصطناعي إلى ظهور أسطح هجوم جديدة وعالية التأثير على فرق التطوير.

اكتشفت شركة Phantom Labs التابعة لـ BeyondTrust مؤخرًا ثغرة خطيرة من نوع حقن الأوامر (Command Injection) في OpenAI Codex، والتي سمحت للمهاجمين بسرقة رموز الوصول الحساسة الخاصة بمستخدمي GitHub.

من خلال استغلال طريقة تعامل Codex مع طلبات إنشاء المهام، يمكن للمهاجمين التحرك داخل بيئة GitHub الخاصة بالمؤسسة باستخدام نفس الصلاحيات الممنوحة لوكيل الذكاء الاصطناعي.

استغلال حقن الأوامر

يُعد OpenAI Codex مساعدًا برمجيًا سحابيًا يتصل مباشرةً بمستودعات GitHub الخاصة بالمطورين.

عند إرسال طلب (Prompt)، يقوم Codex بإنشاء حاوية (Container) مُدارة لتنفيذ مهام مثل توليد الكود أو تحليل المستودع.

وجد الباحثون في BeyondTrust أنه خلال مرحلة إعداد هذه الحاوية، لم يتم تنقية (Sanitize) المدخلات بشكل صحيح.

وبالتحديد، يتم تمرير اسم الفرع (Branch Name) في طلب HTTP POST مباشرةً إلى سكربتات إعداد البيئة.

يمكن للمهاجم استغلال ذلك عبر إدخال أمر خبيث داخل اسم الفرع.

على سبيل المثال، يمكن لحمولة ضارة إجبار النظام على إخراج رمز OAuth الخاص بـ GitHub المخفي إلى ملف نصي يمكن قراءته.

بعد ذلك، يستطيع المهاجم مطالبة Codex بقراءة هذا الملف، مما يؤدي إلى كشف الرمز بشكل صريح داخل واجهة الويب.

الخطر يمتد إلى بيئات المطورين المحلية

لم يقتصر الخطر على بوابة الويب فقط، بل امتد إلى أجهزة المطورين.

حيث اكتشف الباحثون أن تطبيقات Codex على سطح المكتب تقوم بتخزين بيانات المصادقة محليًا داخل ملف خاص.

إذا تمكن المهاجم من الوصول إلى جهاز مطور يعمل على Windows أو macOS أو Linux، يمكنه سرقة رموز الجلسات المحلية.

وباستخدام هذه الرموز للوصول إلى واجهة برمجة التطبيقات الخلفية (API)، يمكنه استرجاع سجل المهام الكامل للمستخدم.

هذا الوصول يسمح أيضًا باستخراج رموز GitHub المخفية داخل سجلات مهام الحاوية.

كما يمكن أتمتة الهجوم لاختراق عدة مستخدمين دون الحاجة للتفاعل المباشر مع واجهة Codex.

هجوم عبر الفروع الخبيثة

يمكن للمهاجم إنشاء فرع خبيث داخل مستودع GitHub مشترك، ومن ثم استهداف أي مستخدم يستخدم Codex على نفس المشروع.

ولتجاوز قيود GitHub على تسمية الفروع، قام المهاجمون باستبدال المسافات برموز خاصة (Internal Field Separator)،

كما استخدموا مسافات Unicode مخفية لإخفاء الكود الخبيث، بحيث يظهر الفرع للمستخدم وكأنه الفرع الرئيسي العادي.

بمجرد تفاعل المستخدم أو النظام الآلي مع هذا الفرع، يتم تنفيذ الكود الخبيث في الخلفية وإرسال رمز GitHub إلى خادم خارجي يتحكم به المهاجم.

سرقة رموز التثبيت (Installation Tokens)

هذا النوع من الهجوم نجح أيضًا مع طلبات السحب (Pull Requests) التلقائية.

عند قيام المطور بطلب مراجعة الكود من بوت Codex، يتم تشغيل حاوية مراجعة الكود.

إذا كان المستودع يحتوي على الفرع الخبيث، يتم تنفيذ الحمولة الضارة داخل الحاوية، مما يسمح بسرقة رموز الوصول الأوسع الخاصة بالتثبيت في GitHub.

التأثير والمعالجة

تم تصنيف هذه الثغرة على أنها حرجة (Critical)، وقد أثرت على:

• موقع ChatGPT
• واجهة Codex CLI
• حزمة Codex SDK
• إضافات Codex في بيئات التطوير (IDE)

تم الإبلاغ عن الثغرة بشكل مسؤول في ديسمبر 2025، وتم إصلاحها بالكامل بحلول نهاية يناير 2026.

توصيات أمنية

مع تزايد اعتماد أدوات البرمجة بالذكاء الاصطناعي، يجب على المؤسسات التعامل مع الحاويات كحدود أمان صارمة. ويوصى باتباع ما يلي:

• تنقية جميع المدخلات التي يمكن للمستخدم التحكم بها قبل تمريرها إلى أوامر النظام.
• عدم الوثوق ببيانات المصادر الخارجية بشكل افتراضي.
• مراجعة صلاحيات تطبيقات الذكاء الاصطناعي وتطبيق مبدأ أقل صلاحية (Least Privilege).
• مراقبة المستودعات لاكتشاف أسماء فروع غير طبيعية تحتوي على رموز أو مسافات Unicode.
• تغيير رموز GitHub بشكل دوري ومراجعة سجلات الوصول لأي نشاط غير معتاد.

الأمن السيبراني: الدليل الشامل لحماية البيانات والأنظمة من الهجمات الإلكترونية

حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي