무슨 일이 있었나
OpenAI Codex의 데스크톱 클라이언트는 모델의 Markdown 출력에서 참조하는 원격 이미지를 자동으로 가져오고 렌더링했습니다. 모델 출력이 신뢰할 수 없는 도구 결과로부터의 간접 프롬프트 주입으로 조종될 수 있기 때문에, 공격자는 Codex가 비밀 데이터를 임베딩하는 이미지 URL을 작성하도록 하여 아웃바운드 이미지 요청을 통해 유출할 수 있습니다.
왜 중요한가
이것은 많은 AI 코딩 어시스턴트 및 채팅 클라이언트에서 볼 수 있는 고전적인 'Markdown 이미지 유출' 패턴입니다 — 이는 UI 편의 기능을 은폐된 데이터 유출 채널로 변환하며 코드 실행이 필요 없이 에이전트가 읽는 콘텐츠로만 트리거되며, 광범위하게 사용되는 AI 코딩 에이전트에 대한 간접 프롬프트 주입 공격의 증가하는 클래스와 직접 관련이 있습니다.
공격 경로
Codex 데스크톱 앱은 모델 응답의 Markdown에서 원격 이미지를 렌더링했습니다. Codex가 처리하는 콘텐츠에 간접 프롬프트 주입을 배치할 수 있는 공격자(예: 연결된 도구 결과 또는 기타 신뢰할 수 없는 소스)는 민감한 세션 데이터를 인코딩하는 원격 이미지 URL을 구성하도록 모델을 유도하여 이미지가 가져오기/렌더링될 때 공격자 제어 서버로 유출할 수 있습니다.
영향받는 시스템
OpenAI Codex macOS용 데스크톱 앱
완화 방안
OpenAI의 권고에 따라 패치된 OpenAI Codex 데스크톱 릴리스로 업데이트하세요. 신뢰할 수 없는 모델 출력에서 자동 원격 이미지 렌더링을 가능하면 비활성화하세요.