一位安全研究员在 Codex CLI 的 –model 参数中发现了一个 ANSI 转义码注入漏洞。攻击者可以伪造终端的安全配置显示,甚至通过剪贴板投毒和终端 CVE 链实现远程代码执行。这个漏洞被 OpenAI 漏洞赏金平台评为 P5 信息性发现,至今未修复。
你的终端在骗你:Codex CLI 的 ANSI 注入漏洞如何演变成远程代码执行
Posts for: #ANSI 注入
一位安全研究员在 Codex CLI 的 –model 参数中发现了一个 ANSI 转义码注入漏洞。攻击者可以伪造终端的安全配置显示,甚至通过剪贴板投毒和终端 CVE 链实现远程代码执行。这个漏洞被 OpenAI 漏洞赏金平台评为 P5 信息性发现,至今未修复。