La falla permitía inyectar comandos shell mediante nombres de rama maliciosos con caracteres Unicode. BeyondTrust reportó el fallo en diciembre 2025 y OpenAI lo corrigió en enero 2026.
OpenAI parcheó en enero de 2026 una vulnerabilidad crítica de inyección de comandos en Codex, su asistente de programación basado en IA, que permitía a atacantes robar tokens de acceso de GitHub con los permisos que los desarrolladores habían concedido al agente. El fallo, descubierto por el equipo Phantom Labs de BeyondTrust, residía en la forma en que Codex procesaba los nombres de las ramas de repositorios durante la configuración de sus contenedores de ejecución, y se notificó responsablemente en diciembre de 2025 antes de su corrección completa.
La vulnerabilidad explotaba una falla de sanitización en el parámetro del nombre de rama que Codex recibe vía HTTP POST cuando un usuario solicita una tarea. Este parámetro se pasaba directamente a los scripts de configuración del entorno sin validación adecuada, permitiendo que un atacante inyectara comandos shell arbitrarios. Según el análisis publicado por BeyondTrust, un payload malicioso podía forzar al sistema a escribir el token OAuth de GitHub en un archivo de texto accesible, que posteriormente el propio agente de Codex podía leer y mostrar en la interfaz web, exponiendo el secreto en texto plano.
El alcance del fallo iba más allá del portal web. Las aplicaciones de escritorio de Codex para Windows, macOS y Linux almacenaban credenciales de autenticación en archivos locales sin protección adecuada. Un atacante con acceso a la máquina de un desarrollador podía robar estos tokens de sesión y autenticarse contra la API backend para recuperar el historial completo de tareas del usuario, incluyendo los tokens de GitHub ocultos en los registros de los contenedores. Esta vía permitía comprometer múltiples cuentas de forma automatizada sin necesidad de interactuar directamente con la interfaz de Codex.
Para evadir las restricciones de nomenclatura de GitHub, que bloquean espacios en nombres de ramas, los atacantes podían sustituir espacios con separadores de campo interno y ocultar el payload utilizando espacios ideográficos Unicode. En la interfaz de usuario, la rama maliciosa aparecía visualmente idéntica a la rama principal, lo que dificultaba su detección por parte de desarrolladores desprevenidos. El ataque también funcionaba contra procesos automatizados: cuando Codex revisaba pull requests en repositorios con ramas maliciosas, el contenedor de revisión ejecutaba el payload oculto, permitiendo robar tokens de instalación de GitHub con permisos más amplios.
La vulnerabilidad recibió una calificación de severidad crítica y afectaba al sitio web de ChatGPT, Codex CLI, Codex SDK y las extensiones de Codex para IDEs. Las organizaciones con desarrolladores que utilizan asistentes de código basados en IA deben rotar los tokens de GitHub concedidos a Codex, auditar los registros de acceso a repositorios en busca de actividad inusual, y revisar los nombres de ramas existentes en busca de caracteres Unicode sospechosos. BeyondTrust recomienda tratar los contenedores de agentes de IA como límites de seguridad estrictos, sanitizando cualquier entrada controlable por usuarios antes de pasarla a comandos shell y aplicando el principio de mínimo privilegio en las integraciones con proveedores de código.
FUENTE ORIGINAL
BeyondTrust↗CURADO POR
Johan Ricardo