NERDMANUnsichtbare Zeichen stehlen deine GitHub-Tokens
Ein Branch-Name. Mehr brauchte es nicht. Sicherheitsforscher haben gezeigt, wie Angreifer über versteckte Unicode-Befehle OpenAI Codex dazu bringen, OAuth-Tokens rauszurücken — die Schlüssel zu ganzer GitHub-Organisationen.
So funktioniert der Angriff
Der Trick ist simpel und genau deshalb so gefährlich. Angreifer verstecken Prompt-Injection-Befehle in Branch-Namen oder Code-Kommentaren. Die Befehle nutzen unsichtbare Unicode-Zeichen — für Menschen nicht sichtbar, für den KI-Agenten glasklar lesbar.
Codex liest den manipulierten Branch-Namen, interpretiert die versteckten Anweisungen und gibt brav die OAuth-Tokens weiter. Der Entwickler merkt nichts.
Was gestohlen werden kann
- OAuth-Tokens** — Vollzugriff auf GitHub-Repos, Issues, Actions
- Organisations-Zugang** — nicht nur ein Account, sondern die gesamte Firma
- Supply-Chain-Risiko** — manipulierter Code könnte in Produktion landen
💡 Was das bedeutet
Das ist kein theoretisches Szenario. Jeder KI-Agent, der Code-Repositories durchsucht, ist ein potenzielles Einfallstor. Wer Codex oder ähnliche Tools mit Repo-Zugriff nutzt, gibt einer KI Credentials in die Hand — und die KI prüft nicht, ob ein Branch-Name vergiftet ist. Die gesamte Toolchain von der IDE bis zur CI/CD-Pipeline wird zur Angriffsfläche.
📅 Timeline
- 2024:** KI-Code-Assistenten werden Standard in Entwicklerteams
- 2025:** Erste Prompt-Injection-Angriffe auf Coding-Agents dokumentiert
- 2026:** Forscher demonstrieren Token-Diebstahl über unsichtbare Unicode-Befehle in OpenAI Codex
Das eigentliche Problem
OpenAI hat KI-Agenten Zugriff auf sensible Tokens gegeben, ohne ausreichende Sandboxing-Mechanismen. Die Agenten können nicht zwischen legitimem Code und eingeschleusten Befehlen unterscheiden. Unicode-Injection ist seit Jahren bekannt — dass Codex dagegen nicht gehärtet war, ist fahrlässig.
