OpenAI 코덱스의 취약점, GitHub 토큰 노출 위험 밝혀져

OpenAI의 코덱스(Codex)는 개발자가 코드 저장소와 상호작용할 수 있는 코딩 보조 도구로, 새로운 보고서에 따르면 이 코덱스에 중요한 취약점이 발견되어 GitHub 인증 토큰이 노출될 가능성이 있었다. 이 취약점은 BeyondTrust의 연구 부서인 팬텀랩스에 의해 발견되었으며, 명령어 삽입을 통해 민감한 GitHub 인증 토큰을 노출할 수 있었다고 한다.

코덱스는 ChatGPT의 일부로 제공되며, 개발자들이 코드 생성, 리뷰, 풀리퀘스트 등 자동화된 작업을 트리거할 수 있도록 한다. 이러한 작업은 짧은 수명의 GitHub OAuth 토큰을 사용하여 저장소를 복제하고 인증하는 관리된 컨테이너 환경에서 실행된다. 취약점은 코덱스가 작업 생성 시 브랜치 이름을 처리하는 방식에서 발생했다. 이를 통해 환경 설정 중 임의의 쉘 명령을 주입하여 코드 실행을 가능하게 했다. 연구진은 이 취약점을 이용해 GitHub OAuth 토큰을 추출하고 이를 작업 출력이나 외부 네트워크 요청을 통해 노출할 수 있었다고 밝혔다.

연구소는 이 결함이 웹 인터페이스를 넘어 코덱스의 명령줄 인터페이스, SDK 및 IDE 통합으로 확장될 수 있음을 보여주었다. 인증 자격 증명이 로컬에 저장된 경우 백엔드 API를 통해 공격을 재현할 수 있었다. 만약 공격자에게 GitHub OAuth 토큰이 주어진다면, 특히 기업 환경에서 리포지토리와 워크플로에서 광범위한 권한을 부여받은 코덱스를 활용해 GitHub 내에서 횡적 이동이 가능할 수 있다.

이 취약점은 OpenAI가 대응하여 여러 수정을 통해 해결되었다. 개선된 입력 검증, 강력한 쉘 회피 보호 및 컨테이너 환경 내에서의 토큰 노출에 대한 엄격한 제어 조치가 포함되었다. AI 에이전트는 단순한 생산성 도구가 아니라는 점을 명심해야 한다고 보고서는 결론 짓는다. 사용자가 제어할 수 있는 입력이 쉘 명령으로 변환될 때, 이는 실제적인 결과를 초래할 수 있는 명령어 삽입으로 이어질 수 있다. 사용자와 개발자가 AI 보조 도구와 상호작용하는 환경의 보안이 기존 애플리케이션 보안 경계와 동일한 엄격함으로 다루어져야 한다고 강조했다.