Apa yang terjadi
Klien desktop OpenAI Codex secara otomatis mengambil dan merender gambar jarak jauh yang direferensikan dalam output Markdown dari model. Karena output model dapat diarahkan oleh indirect prompt injection dari hasil alat yang tidak dipercaya, penyerang dapat menyebabkan Codex membangun URL gambar yang menyematkan data rahasia, melakukan exfiltration melalui permintaan gambar outbound.
Mengapa penting
Ini adalah pola klasik 'Markdown image exfiltration' yang terlihat di berbagai asisten coding AI dan klien chat — mengubah fitur kenyamanan UI menjadi saluran exfiltration data rahasia yang dipicu semata-mata oleh konten yang dibaca agent, tidak ada eksekusi kode yang diperlukan, dan sangat relevan dengan kelas pertumbuhan serangan indirect-prompt-injection terhadap agent coding AI yang banyak digunakan.
Vektor serangan
Aplikasi desktop Codex merender gambar jarak jauh dari Markdown dalam respons model. Penyerang yang mampu menempatkan indirect prompt injection dalam konten yang diproses Codex (misalnya hasil alat yang terhubung atau sumber lain yang tidak dipercaya) dapat menginduksi model untuk membangun URL gambar jarak jauh yang mengkodekan data sesi sensitif, melakukan exfiltration ke server yang dikontrol penyerang ketika gambar diambil/dirender.
Sistem yang terdampak
Aplikasi desktop OpenAI Codex untuk macOS
Mitigasi
Perbarui ke rilis desktop OpenAI Codex yang diperbaiki per advisory OpenAI; nonaktifkan rendering gambar jarak jauh otomatis dari output model yang tidak dipercaya jika memungkinkan.