Bei dem aktuellen Vorfall rund um codexui-android geht es um einen Supply Chain Angriff auf Entwickler, die OpenAI Codex über ein Drittanbieter-Tool nutzen. Laut Aikido Security wurde in das veröffentlichte npm-Paket Code eingebaut, der beim Start die lokale Datei ~/.codex/auth.json ausliest und die enthaltenen Tokens an sentry.anyclaw.store überträgt.
Wichtig ist die Einordnung: Das ist nach aktuellem Stand keine Schwachstelle im OpenAI Codex Dienst selbst. Das Risiko entsteht, weil ein scheinbar nützliches Remote-UI-Tool Zugriff auf lokal gespeicherte Anmeldedaten hatte und diese heimlich weitergegeben haben soll.
Was ist das Problem?
Codex speichert Anmeldedaten je nach Konfiguration lokal in ~/.codex/auth.json oder im Betriebssystem-Keyring. OpenAI weist in der Codex-Dokumentation ausdrücklich darauf hin, dass auth.json wie ein Passwort behandelt werden muss, weil die Datei Zugriffstokens enthält.
Das bösartige Paket soll genau diese Datei gelesen haben. Besonders kritisch ist dabei der mögliche Diebstahl von Refresh Tokens, weil darüber aktive Sitzungen fortgeführt und neue Zugriffstokens erzeugt werden können. Für Unternehmen bedeutet das: Ein infiziertes Entwicklergerät kann zur Brücke in Codex Workflows, Quellcode und weitere Entwicklungsprozesse werden.
Wer ist betroffen?
- Entwickler, die
codexui-androidaus npm installiert oder ausgeführt haben. - Nutzer der Android-App
OpenClaw Codex Claude AI Agent, die laut Aikido das npm-Paket automatisch einbindet. - Nutzer einer weiteren Android-App namens
Codex, die laut Aikido dieselbe Exfiltrationskette enthält. - Teams, die Codex Credentials auf Entwicklergeräten, in privaten CI-Runnern oder in Remote-Umgebungen dateibasiert speichern.
Nicht automatisch betroffen sind alle OpenAI Codex Nutzer. Entscheidend ist, ob das genannte Paket oder eine betroffene App genutzt wurde und ob dort lokal verwertbare Codex Anmeldedaten vorhanden waren.
Welche Maßnahmen sind sinnvoll?
Sofortmaßnahmen für betroffene Teams
- 1
Installation suchen
Endgeräte, Entwicklungscontainer, Remote-Hosts und private Runner auf codexui-android sowie die genannten Android-Apps prüfen.
- 2
Tool entfernen
Betroffene Pakete und Apps deinstallieren. Betroffene Geräte bis zur Prüfung als potenziell kompromittiert behandeln.
- 3
Tokens erneuern
Codex abmelden, betroffene Tokens widerrufen oder rotieren und neue Anmeldedaten erzeugen.
- 4
Logs prüfen
Nach Verbindungen zu sentry.anyclaw.store, ungewöhnlichen Codex Sessions und auffälligen npm- oder Android-App-Starts suchen.
- 5
Speicherung härten
Nach Möglichkeit cli_auth_credentials_store = "keyring" oder "auto" nutzen. Wird auth.json genutzt, darf die Datei nicht in Tickets, Chats, Repositories, Backups oder Images landen.
- 6
Drittanbieter-Tools begrenzen
KI-Entwickler-Tools nur aus geprüften Quellen erlauben, Versionen pinnen und ausgehende Verbindungen von Entwicklergeräten überwachen.
Kurzfazit
Der Vorfall ist ein gutes Beispiel dafür, dass KI-Entwicklerwerkzeuge längst Teil der Software Supply Chain sind. Wer Codex, CLI-Tools und mobile Hilfs-Apps nutzt, sollte lokale Tokens wie Produktionsgeheimnisse behandeln: klein halten, geschützt speichern, regelmäßig rotieren und bei verdächtigen Drittanbieter-Tools sofort austauschen.
FAQ
FAQ zum codexui-android Token-Diebstahl
Was ist bei codexui-android passiert?
Wer ist vom OpenAI Codex Token Diebstahl betroffen?
Ist OpenAI Codex selbst kompromittiert?
Was sollte man sofort tun?
Quellen
- The Hacker News: OpenAI Codex Authentication Tokens Stolen in codexui-android npm Supply Chain AttackThe Hacker News, Ravie Lakshmanan, 01.06.2026
- Aikido Security: Legitimate-Looking Codex Remote UI Secretly Steals Your AI TokensAikido Security, Charlie Eriksen, veröffentlicht 27.05.2026, aktualisiert 28.05.2026
- OpenAI Developers: Authentication – CodexOpenAI Developers, Codex Authentifizierung und Credential Storage