Die Forscher des BeyondTrust-Teams Phantom Labs hatten Erfolg – einschließlich der Automatisierung, die nötig ist, um die vielen Nutzer eines einzelnen GitHub-Repositories zu kompromittieren. Nach eigener Darstellung war es kein Projekt über Nacht, sondern langwierig und komplex; die vollständigen Details haben sie in einem Blogbeitrag veröffentlicht.
Nach ihren Angaben konnten sie auf Tokens zugreifen, die an Repositories, Workflows und privaten Code gebunden waren. Daraus ergab sich das Potenzial für laterale Bewegung über Unternehmen hinweg, die gemeinsame Umgebungen nutzen, sowie für eine Ausnutzung im großen Maßstab durch Automatisierung.
Die Schwachstelle geht laut Phantom Labs auf eine unzureichende Eingabebereinigung zurück: Codex verarbeitete GitHub-Branch-Namen bei der Ausführung von Aufgaben fehlerhaft. Durch das Einschleusen beliebiger Befehle über den Parameter des Branch-Namens konnte ein Angreifer schädliche Payloads im Container des Agenten ausführen und sensible Authentifizierungs-Tokens auslesen.
Um Zuverlässigkeit und Unauffälligkeit nachzuweisen, entwickelten die Forscher zusätzliche Verschleierungstechniken mit Unicode-Zeichen. So ließen sich schädliche Befehle ausführen, ohne in der Benutzeroberfläche sichtbar zu sein.
BeyondTrust meldete seine Erkenntnisse Ende Dezember 2025 verantwortungsvoll an OpenAI. Das Unternehmen behob alle gemeldeten Probleme rasch; die beschriebene Schwachstelle funktioniert gegen OpenAI Codex nicht mehr.
Die Untersuchung ordnet sich in eine Reihe von Vorfällen ein, bei denen OAuth-Tokens eine Rolle spielten. So waren sie 2025 der primäre Angriffsweg beim Salesloft-Vorfall, der zur Kompromittierung von mehr als 700 Organisationen führte. Im März 2026 veröffentlichte Grip Security zudem eine Untersuchung zu Schatten-KI und OAuth-Tokens in SaaS-Anwendungen und beschrieb, wie ein einziger gestohlener Token kaskadierende Sicherheitsverletzungen über mehrere Unternehmen hinweg auslösen kann, die dieselbe SaaS-Anwendung nutzen.
Die Lehre laut BeyondTrust-Bericht: KI-Coding-Agenten seien nicht bloß Produktivitätswerkzeuge, sondern aktive Ausführungsumgebungen mit Zugriff auf sensible Anmeldedaten und Unternehmensressourcen. Weil diese Agenten autonom handeln, müssten Sicherheitsteams verstehen, wie sich die Identitäten von KI-Agenten steuern lassen, um Command Injection, Token-Diebstahl und automatisierte Ausnutzung im großen Maßstab zu verhindern. Je tiefer KI-Agenten in Entwickler-Workflows eingebunden würden, desto mehr müssten die Sicherheit der Container, in denen sie laufen, und die von ihnen verarbeiteten Eingaben mit derselben Sorgfalt behandelt werden wie jede andere Sicherheitsgrenze einer Anwendung.
