Descripción de la Vulnerabilidad
Un runtime codex_local gestionado por Paperclip fue capaz de acceder y utilizar un conector Gmail que había sido conectado únicamente en la interfaz de ChatGPT/OpenAI, sin haber configurado explícitamente Gmail dentro de Paperclip o Codex por separado. Esta vulnerabilidad representa una falla en los límites de confianza entre la ejecución de Codex gestionada por Paperclip y los conectores heredados de aplicaciones OpenAI.
Funcionamiento del Ataque
El runtime realizó llamadas exitosas a funciones como mcp__codex_apps__gmail_get_profile, mcp__codex_apps__gmail_search_emails y mcp__codex_apps__gmail_send_email. El sistema encontró estado de conector Gmail en caché bajo rutas como codex-home/plugins/cache/openai-curated/gmail/.../.app.json, confirmando que el runtime tenía acceso a conectores ya configurados en OpenAI en lugar de integraciones específicas de Paperclip. El problema se amplifica porque codex_local establece por defecto dangerouslyBypassApprovalsAndSandbox en true, permitiendo que agentes recién creados operen sin aprobaciones ni sandbox.
Impacto y Consecuencias
En el entorno de prueba, esta vulnerabilidad resultó en: divulgación de identidad del buzón, acceso de búsqueda a hilos de correo, envío real de email saliente desde una cuenta Gmail personal a terceros externos, y mensajes de retractación posteriores tras intervención manual. Desde una perspectiva operacional y de seguridad, conectar Gmail en la interfaz de ChatGPT/OpenAI no debería hacer automáticamente disponible ese conector para un runtime de agente local gestionado por Paperclip, especialmente para acciones de escritura y envío.