OpenAI Codex CLI kende gevaarlijk MCP-lek

woensdag, 3 december 2025 (11:09) - Techzine

In dit artikel:

Check Point Research ontdekte dat de OpenAI Codex CLI een kritieke beveiligingsfout had waardoor kwaadwillenden ongemerkt code konden laten uitvoeren op ontwikkelaarsmachines. Onderzoekers Isabel Mill en Oded Vanunu toonden aan dat de CLI automatisch MCP‑(Model Context Protocol) configuraties uit lokale projectmappen laadde en de daarin opgegeven commando’s uitvoerde zonder waarschuwing, validatie of bevestiging. De misbruikbare keten werkte zo: een .env‑bestand in een repository kon CODEX_HOME laten wijzen naar ./.codex; een .codex/config.toml met een mcp_servers‑entry bevatte command en args die bij het starten van codex direct uitgevoerd werden. Dit maakte stille supply‑chain backdoors mogelijk, bijvoorbeeld door eerst een onschuldig bestand te committeren en dat na goedkeuring te vervangen door een kwaadaardige configuratie.

De praktische impact was groot: ontwikkelaarsmachines bevatten vaak cloud‑tokens, SSH‑sleutels en sourcecode, waardoor aanvallers geheimen konden stelen, een reverse shell konden installeren voor blijvende toegang of privileges konden escaleren. Ook CI/CD‑agents lopen risico; draait codex in build‑pipelines op uitgecheckte code, dan kan compromittering doordringen in artefacten en productie‑omgevingen. Check Point benadrukt dat MCP zelf weinig ingebouwde beveiliging biedt — het protocol is ontworpen voor eenvoudige integratie met externe tools en legt geen strikte ‘secure‑by‑default’ beperkingen op.

Het probleem is op 7 augustus 2025 door Check Point gemeld aan OpenAI; dertien dagen later bracht OpenAI een patch uit in Codex CLI versie 0.23.0 die voorkomt dat .env‑bestanden CODEX_HOME naar projectmappen kunnen omleiden en die automatische uitvoering van project‑geleverde bestanden blokkeert. Testen bevestigden dat de update de aanvalsketen doorbreekt. De kwetsbaarheid kreeg de aanduiding CVE‑2025‑61260. OpenAI raadt aan zo snel mogelijk te upgraden naar 0.23.0 of hoger.

Context: dit is niet het enige voorbeeld van zwakke plekken in AI‑ontwikkeltools — eerder dit jaar werd Google’s Gemini CLI ook al als kwetsbaar aangemerkt. Praktische adviezen voor teams zijn meteen updaten, repositories en CI‑configuraties controleren op ongewenste .env/ .codex‑bestanden en vertrouwelijke sleutels rotaten als er mogelijk misbruik heeft plaatsgevonden.