Il CERT‑AGID avverte che l’app‑server Codex di OpenAI, se esposto in rete senza autenticazione, può consentire a soggetti non autorizzati di connettersi e usare il metodo command/exec per eseguire comandi sul sistema ospitante.
La documentazione prevede l’uso solo in ambienti locali o fidati, ma non impone blocchi tecnici: il servizio può avviarsi su 0.0.0.0 accettando connessioni senza credenziali dopo un semplice warning, rendendo possibile l’accesso completo alle API.
Il rischio deriva da una configurazione non sicura, non da una vulnerabilità: è quindi essenziale abilitare l’autenticazione e limitarne l’esposizione a reti protette.
Per informazioni, visita il sito: cert-agid.gov.it