npm中一个名为codexui-android的恶意软件包已泄露OpenAI Codex的认证令牌。将这种人工智能集成到项目中的开发者面临密钥被未经授权使用的风险。对于用户而言,这给基于Codex的服务安全带来了隐患。现在是时候审查访问权限并更新密码了。
恶意代码如何利用开发者凭证 🔐
codexui-android包伪装成合法的Android库,但安装后会执行一个脚本,提取存储在开发者环境中的认证令牌。这些令牌允许无限制访问Codex的API,为未经授权的查询或数据泄露打开了大门。npm社区已删除该包,但已下载的开发者必须立即轮换密钥,并审计项目是否存在异常访问。
这个想当Android的包,其实是个令牌小偷 🦹
有人觉得把codexui-android这个跟Android毫无关系、纯粹是骗局的包起这个名字是个好主意。这就像点了一份披萨,结果送来一张电费账单。安装它的开发者现在荣幸地把自己的令牌拱手送给了陌生人。还好改密码是免费的,但这次教训在时间和尊严上代价不菲。