حقائق سريعة

• يحتوي OpenAI Codex CLI على ثغرة حرجة (CVE-2025-61260) تتيح للمهاجمين تنفيذ أوامر على أجهزة المطورين.
• يحتاج المهاجمون فقط إلى صلاحية الكتابة أو تقديم طلب سحب (Pull Request) في المستودع لاستغلال الثغرة.
• سبب الثغرة هو تنفيذ ملفات الإعدادات المحلية للمشروع دون تحقق أو تنبيه المستخدم.
• تشمل التأثيرات المحتملة سرقة بيانات الاعتماد، وزرع أبواب خلفية دائمة، وهجمات واسعة على سلسلة التوريد.
• التحديث الأمني قيد الانتظار؛ يُنصح المطورون بمراجعة مستودعاتهم وإعداداتهم فوراً.

الفخ تحت الشيفرة الموثوقة

تخيل مساحة عمل مضاءة جيداً، ومطور يكتب الشيفرة معتمداً على أدوات مألوفة لبناء المستقبل. ومع ذلك، يكمن في الروتين اليومي - مثل فنجان قهوة مفخخ - تهديد يظهر بمجرد استخدام الأداة. هذه هي الحقيقة المقلقة التي يواجهها آلاف المطورين بعد أن كشف باحثو الأمن عن ثغرة خطيرة في Codex CLI من OpenAI، وهو مساعد سطر أوامر صُمم لجعل البرمجة أكثر ذكاءً وسرعة.

اكتشفت إيزابيل ميل وأوديد فانونو هذه الثغرة (CVE-2025-61260) التي تتيح للمهاجمين استغلال ملفات إعدادات المشروع - تلك المخططات التي تبدو بريئة والتي توجه أدوات البرمجيات - وتحويلها إلى مخربين صامتين. عندما يقوم المطور باستنساخ مستودع ويشغّل Codex CLI، تقرأ الأداة تلقائياً ملفات الإعدادات المحلية وتنفذ الأوامر الموجودة فيها دون أن تطلب إذن المستخدم أو حتى تلمّح إلى وجود أمر غير اعتيادي.

تشريح هجوم صامت

لا يتطلب الهجوم أكثر من طلب سحب خبيث أو صلاحية كتابة في المستودع. من خلال إدراج ملفيْن في المشروع - ملف بيئة بسيط وملف إعدادات مُعد خصيصاً - ينصب المهاجم الفخ. بمجرد دمج التغييرات، أي مطور يسحب الشيفرة ويشغّل Codex يُفعّل الحمولة الخفية، والتي قد تتراوح بين إنشاء ملفات وفتح نافذة تحكم عن بعد للمهاجمين (Reverse Shell)، وكل ذلك دون أي تحذير أو نافذة حوار.

هذا التنفيذ الصامت خطير بشكل خاص لأن المطورين يثقون عادةً بملفات المشروع. فعلياً، تمنح الثغرة المهاجمين مفاتيح القلعة: الوصول إلى بيانات اعتماد السحابة، ومفاتيح SSH، والشيفرة الخاصة. والأسوأ من ذلك، إذا كانت أنظمة التكامل المستمر أو وكلاء البناء التلقائي يستخدمون Codex، يمكن أن تنتشر العدوى عبر سلسلة التوريد البرمجية بأكملها، ملوثة المنتجات والمستخدمين - تماماً كما حدث في اختراق SolarWinds الشهير أو حادثة npm event-stream الأخيرة.

ظلال سلسلة التوريد: دروس من الماضي

يقدم التاريخ أصداءً مخيفة. هجوم SolarWinds في عام 2020، حيث نشرت التحديثات الملوثة برمجيات خبيثة لآلاف المؤسسات، واختراق npm event-stream عام 2018، حيث تم تخريب مكتبة جافاسكريبت شهيرة لسرقة البيتكوين، كلاهما استغل الثقة في سلسلة التوريد البرمجية. ثغرة Codex CLI من نفس النوع، لكن مع لمسة جديدة: فهي تسلّح الأدوات المصممة لتمكين المطورين، وتزرع التهديدات في قلب صناعة البرمجيات الحديثة.

يحذر خبراء الأمن من أنه مع انتشار أدوات البرمجة المدعومة بالذكاء الاصطناعي، يجب تأمين نقاط التكامل - مثل ملفات الإعدادات - بصرامة. تسلط حادثة Codex الضوء على كيف يمكن للمهاجمين استغلال حتى أبسط الثغرات، ولماذا تُعد المصادقة الشفافة وتنبيهات المستخدم وسائل حماية أساسية.

ويكيكروك

• حقن الأوامر: حقن الأوامر هو ثغرة يستغل فيها المهاجمون الأنظمة لتنفيذ أوامر غير مصرح بها عبر إدخال بيانات خبيثة في الحقول أو الواجهات المخصصة للمستخدم.
• ملف الإعدادات: ملف الإعدادات يخزن الإعدادات والتعليمات التي توجه كيفية عمل البرمجيات أو الأجهزة، مما يتيح التخصيص والأداء الآمن والمتسق.
• شِل عكسي: الشِل العكسي هو عندما يتصل جهاز مخترق سراً بالمهاجم، مانحاً إياه تحكماً عن بعد ويتجاوز الدفاعات الأمنية التقليدية.
• سلسلة التوريد: هجوم سلسلة التوريد يستهدف مزودي الخدمات أو الأطراف الثالثة لاختراق عدة مؤسسات من خلال استغلال العلاقات الموثوقة الخارجية.
• التكامل المستمر (CI): التكامل المستمر (CI) يتيح أتمتة بناء واختبار تغييرات الشيفرة، مما يساعد الفرق على اكتشاف الأخطاء مبكراً لكنه يشكل خطراً إذا تم اختراق العملية من قبل المهاجمين.