La falla permitía ejecutar comandos arbitrarios a través de nombres de rama con caracteres Unicode ocultos. BeyondTrust demostró exfiltración de credenciales OAuth con potencial de compromiso escalable en entornos empresariales.
OpenAI confirmó el parcheo completo de una vulnerabilidad crítica de inyección de comandos en Codex, su agente de ingeniería de software basado en la nube, que habría permitido a atacantes robar tokens de autenticación OAuth de GitHub y comprometer múltiples usuarios que interactuaran con un repositorio compartido.
La falla, descubierta por investigadores de BeyondTrust Phantom Labs, radicaba en la falta de sanitización de entrada al procesar nombres de rama durante la ejecución de tareas, un vector que permitía inyectar comandos shell arbitrarios dentro del contenedor de ejecución del agente.
El mecanismo de ataque aprovechaba un descuido fundamental en el manejo de parámetros, cuando Codex clona un repositorio para ejecutar una tarea solicitada por el usuario, utiliza el nombre de la rama como parte del comando de configuración del entorno. Los investigadores descubrieron que al insertar caracteres Unicode especiales, específicamente un Espacio Ideográfico que resulta invisible al ojo humano, era posible concatenar comandos maliciosos que se ejecutaban sin levantar sospechas. En las pruebas conceptuales, el equipo de Phantom Labs logró extraer los tokens OAuth de GitHub en texto plano y exfiltrarlos a través de solicitudes de red externas.
La gravedad del hallazgo se amplifica por el modelo de permisos que Codex emplea en entornos empresariales. Los tokens OAuth otorgan acceso a repositorios privados, flujos de trabajo de CI/CD y código fuente confidencial. Un atacante que lograra comprometer un token con privilegios amplios podría moverse lateralmente dentro de GitHub, acceder a secretos almacenados en repositorios y escalar el compromiso a múltiples organizaciones si el proyecto afectado tuviera colaboradores externos.
BeyondTrust documentó el proceso completo de investigación en su reporte técnico, donde detallan cómo la automatización permitiría explotar la vulnerabilidad a escala antes de que los tokens de corta duración expiraran.
El vector de ataque no se limitaba a la interfaz web de ChatGPT. Los investigadores confirmaron que el SDK de Codex, su interfaz de línea de comandos y las integraciones con entornos de desarrollo como IDEs también eran susceptibles. En estos escenarios, las credenciales de autenticación almacenadas localmente en archivos como auth.json podían ser exfiltradas si un atacante conseguía que una víctima abriera un repositorio malicioso. El potencial de daño era particularmente alto en organizaciones donde los desarrolladores trabajan con múltiples proyectos compartidos y repositorios de código abierto.
La cronología de la respuesta de OpenAI refleja la seriedad del hallazgo. BeyondTrust reportó la vulnerabilidad el 16 de diciembre de 2025. Una semana después, el 23 de diciembre, OpenAI publicó un hotfix inicial. Para el 30 de enero de 2026, la compañía había implementado validación de entrada más estricta, protecciones mejoradas de escape de shell y controles más rigurosos sobre la exposición de tokens en los contenedores. El 5 de febrero, la vulnerabilidad fue clasificada como "Critical Priority 1", y los fixes completos fueron confirmados poco después.
Para las organizaciones que utilizan Codex y herramientas similares, el incidente subraya la necesidad de aplicar los principios de privilegios mínimos a las integraciones de IA. Limitar el alcance de los tokens OAuth, implementar monitoreo de actividad anómala en repositorios y revisar periódicamente las integraciones autorizadas son medidas que reducen el radio de explosión de futuras vulnerabilidades en este tipo de agentes autónomos.
FUENTE ORIGINAL
BeyondTrust↗CURADO POR
Santiago Torres