何が起きたか
OpenAI Codex のデスクトップクライアントは、モデルからの Markdown 出力で参照されるリモート画像を自動的に取得してレンダリングしました。モデル出力は信頼できないツール結果からの間接的プロンプト インジェクションによってコントロールできるため、攻撃者は Codex に秘密データを埋め込む画像 URL を構築させ、アウトバウンド画像リクエストを通じてそれを流出させることができます。
なぜ重要か
これは多くの AI コーディング アシスタントとチャット クライアントで見られるクラシック 「Markdown 画像流出」パターンです — UI 便宜機能をコードを実行せず、エージェントが読むコンテンツによってのみトリガーされる秘密データ流出チャネルに変えており、広く使用されている AI コーディング エージェントに対する間接的プロンプト インジェクション攻撃の増加するクラスに直接関連しています。
攻撃経路
Codex デスクトップアプリはモデル応答の Markdown からリモート画像をレンダリングしました。Codex によって処理されたコンテンツに間接的プロンプト インジェクションを置くことができる攻撃者 (接続されたツール結果または他の信頼できないソースなど) は、機密セッション データをエンコードするリモート画像 URL を構築するようにモデルを誘導でき、画像が取得/レンダリングされるとき攻撃者制御サーバーにそれを流出させることができます。
影響を受けるシステム
OpenAI Codex Desktop app for macOS
緩和策
OpenAI の勧告に従い、パッチされた OpenAI Codex デスクトップリリースに更新してください。信頼できないモデル出力からの自動リモート画像レンダリングは可能な限り無効にしてください。