事件经过
OpenAI Codex 的桌面客户端自动获取并渲染模型 Markdown 输出中引用的远程图像。由于模型输出可以由来自不受信任工具结果的间接提示注入进行操纵,攻击者可以导致 Codex 构建嵌入秘密数据的图像 URL,通过出站图像请求泄露它。
影响分析
这是在许多 AI 编码助手和聊天客户端中看到的经典"Markdown 图像泄露"模式——它将 UI 便利功能转变为由代理读取的内容纯粹触发的隐蔽数据泄露通道,无需代码执行,并与日益增多的针对广泛使用的 AI 编码代理的间接提示注入攻击类别直接相关。
攻击途径
Codex 桌面应用程序从模型响应中的 Markdown 渲染远程图像。能够在 Codex 处理的内容中放置间接提示注入的攻击者(例如已连接工具结果或其他不受信任的来源)可以诱导模型构建编码敏感会话数据的远程图像 URL,在获取/渲染图像时将其泄露给攻击者控制的服务器。
受影响系统
OpenAI Codex macOS 桌面应用程序
缓解措施
根据 OpenAI 的公告更新到修补的 OpenAI Codex 桌面版本;在可能的情况下禁用来自不受信任模型输出的自动远程图像渲染。