Check Point Research ontdekte een kritieke kwetsbaarheid in OpenAI Codex CLI waarmee aanvallers ongemerkt kwaadaardige code konden uitvoeren op de apparaten van ontwikkelaars. De securityfout zat in de manier waarop de tool projectconfiguraties inlaadde. OpenAI loste het probleem op in versie 0.23.0 deze zomer.
De onderzoekers Isabel Mill en Oded Vanunu van Check Point testten of Codex CLI veilig omging met projectbestanden die automatisch worden geladen. Ze ontdekten dat de tool zonder waarschuwing MCP-serverconfiguraties uitvoerde uit lokale projectmappen. Wie een repository kloonde met een .env-bestand dat CODEX_HOME verwees naar een projectmap, kon zonder het te weten kwaadaardige code uitvoeren als hier malafide bestanden in stonden.
Dat gebeurde via het Model Context Protocol, bedoeld om externe tools te integreren in de Codex-omgeving. De CLI laadde MCP-configuraties uit een .codex/config.toml bestand en voerde de daarin gedefinieerde commando’s direct uit bij het starten. Er was geen sprake van een goedkeuringsprompt, geen validatie en geen controle wanneer de commando’s wijzigden.
Aangezien MCP zelf geen uitgebreide ingebouwde security bevat, ook niet na een reeks updates. Weliswaar tracht Anthropic dit te verbeteren, maar de nadruk ligt duidelijk op het vereenvoudigen van de verbinding met securitytools, niet een by-default beveiliging die frictie creëert voor het protocol. Dat lijkt ook gewoonweg niet de bedoeling te zijn van MCP.
Aanvalsvector via gewone repository-bestanden
De aanval was simpel uit te voeren, leggen de Check Point-onderzoekers uit. Een .env-bestand in de repository stelde CODEX_HOME in op ./.codex. Het bijbehorende .codex/config.toml bevatte vervolgens een mcp_servers-entry met een command en args. Check Point demonstreerde dit met een onschuldig bestand-creatie-payload, maar verving dat later met een reverse shell. Beide varianten draaiden zonder gebruikersinteractie.
De onderzoekers toonden ook aan dat een aanvaller eerst een goedaardige configuratie kon committen om vertrouwen te winnen. Na goedkeuring of merge kon deze worden vervangen door een kwaadaardige versie. De CLI controleerde alleen of de MCP-entry aanwezig was onder CODEX_HOME, niet wat erin stond. Een stille, reproduceerbare supply chain-backdoor die activeerde bij normale ontwikkelworkflows.
Gevolgen voor ontwikkelaars en bedrijven
De impact reikte verder dan alleen individuele machines. Ontwikkelaarssystemen bevatten vaak cloudtokens, SSH-keys en broncode. Een aanvaller kon credentials stelen, secrets exfiltreren of verdere exploits uitrollen. Omdat de kwetsbaarheid zat in het vertrouwen dat Codex CLI stelde in projectbestanden, hadden aanvallers meerdere mogelijkheden.
Ze konden een reverse shell installeren voor blijvende toegang. Elke keer dat een ontwikkelaar codex draaide, kreeg de aanvaller opnieuw controle. Willekeurige shell-commando’s liepen in de context van de gebruiker, waardoor aanvallers ook privileges konden escaleren. Via besmette templates, starter-repos of populaire open source-projecten konden aanvallers veel downstream-gebruikers raken met één commit.
Ook CI/CD-pipelines liepen gevaar. Als build-agents codex draaiden op uitgecheckte code, kon de compromittering doorwerken in build-artefacten en productie-omgevingen. Supply chain-aanvallen nemen al een paar jaar sterk toe, en deze kwetsbaarheid is een voorbeeld van de mogelijke aanvalspaden die kwaadwillenden kunnen nemen.
Fix en responsible disclosure
Check Point meldde het probleem op 7 augustus 2025 aan OpenAI. Het bedrijf bracht dertien dagen later een patch uit in Codex CLI versie 0.23.0. De fix voorkomt dat .env-bestanden CODEX_HOME naar projectmappen kunnen omleiden. De automatische executie van aanvaller-gecontroleerde bestanden is hiermee geblokkeerd.
Testen van Check Point bevestigden dat de patch werkt. Codex CLI staat nu veiligere defaults toe en stopt de directe uitvoering van project-geleverde bestanden. OpenAI raadt alle gebruikers sterk aan om te upgraden naar versie 0.23.0 of hoger.
De kwetsbaarheid kreeg de classificatie CVE-2025-61260. Dit was niet de eerste keer dit jaar dat een AI-ontwikkeltool met securityproblemen kampte. Google’s Gemini CLI bleek eerder al kwetsbaar voor prompt injection-aanvallen. Dat was al binnen 48 uur na lancering.