Code Velocity
AI Сигурност

Компрометиране на инструменти за разработчици на Axios: OpenAI отговаря на атака по веригата на доставки

·11 мин четене·OpenAI·Оригинален източник
Сподели
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Отговорът на OpenAI на компрометирането на инструмента за разработчици на Axios, подчертаващ актуализациите за сигурност на macOS приложенията.

title: "Компрометиране на инструменти за разработчици на Axios: OpenAI отговаря на атака по веригата на доставки" slug: "axios-developer-tool-compromise" date: "2026-04-11" lang: "bg" source: "https://openai.com/index/axios-developer-tool-compromise/" category: "AI Сигурност" keywords:

  • OpenAI
  • Axios
  • инструмент за разработчици
  • атака по веригата на доставки
  • сигурност на macOS
  • подписване на код
  • пробив в сигурността
  • уязвимост на софтуера
  • ChatGPT Desktop
  • Codex App
  • Atlas
  • GitHub Actions meta_description: "OpenAI реагира на инцидент със сигурността, свързан с компрометиран инструмент за разработчици на Axios, инициирайки ротация на сертификати за macOS приложения. Потребителските данни остават в безопасност, като се призовават актуализации за повишена сигурност." image: "/images/articles/axios-developer-tool-compromise.png" image_alt: "Отговорът на OpenAI на компрометирането на инструмента за разработчици на Axios, подчертаващ актуализациите за сигурност на macOS приложенията." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 11 faq:
  • question: "Компрометирани ли са продукти на OpenAI или потребителски данни?" answer: "Не. Подробното разследване на OpenAI относно компрометирането на инструмента за разработчици на Axios не откри доказателства, че някой от продуктите на OpenAI е бил компрометиран или че потребителски данни са били достъпвани или изложени. Компанията потвърди, че нейните системи и интелектуална собственост са останали некомпрометирани и че нейният софтуер не е бил променян. Този инцидент е бил предимно атака по веригата на доставки срещу библиотека на трета страна, а OpenAI е действал от излишък на предпазливост, за да защити своите macOS приложения, въпреки че не е имало пряко въздействие върху потребителска информация или основни системи. Тази проактивна мярка гарантира продължителната цялост на тяхната платформа и поверителността на техните потребители, дори и пред лицето на теоретични рискове."
  • question: "Виждали ли сте злонамерен софтуер, подписан като OpenAI?" answer: "OpenAI потвърди, че към момента на тяхното разследване няма доказателства, че потенциално изложените материали за нотаризация и подписване на код са били злоупотребени за подписване на злонамерен софтуер, представящ се за легитимни приложения на OpenAI. Всички събития за нотаризация, свързани с засегнатите материали, са били прегледани и потвърдени като легитимни. Въпреки че рискът от подобна злоупотреба е бил основната причина за тяхната проактивна реакция, е въведено непрекъснато наблюдение за откриване на всякакви неоторизирани дейности. Потребителите се насърчават да останат бдителни и да изтеглят приложения само от официални източници."
  • question: "Трябва ли да променя паролата си?" answer: "Не, няма нужда потребителите да променят своите пароли или API ключове на OpenAI. Инцидентът със сигурността, включващ компрометирането на инструмента за разработчици на Axios, не засегна потребителски идентификационни данни или API ключове. Вътрешните системи на OpenAI, съдържащи такава чувствителна информация, не са били нарушени, а естеството на компромиса е било изолирано до процеса на подписване на приложения за macOS. Потребителите могат да бъдат уверени, че сигурността на техния акаунт остава непокътната и не се изисква никакво действие от тяхна страна относно идентификационните данни."
  • question: "Засяга ли това iOS, Android, Linux или Windows?" answer: "Не, този инцидент със сигурността засяга конкретно само macOS приложенията на OpenAI, включително ChatGPT Desktop, Codex App, Codex CLI и Atlas. Компрометирането е свързано с работен процес на GitHub Actions, използван изключително за процеса на подписване на macOS приложения. Потребители на платформи iOS, Android, Linux или Windows, включително тези, които достъпват услугите на OpenAI чрез уеб браузъри, не са засегнати от този конкретен инцидент и не е необходимо да предприемат никакви действия, свързани с това предупреждение. Уязвимостта е била специфична за платформата поради естеството на излагане на сертификата за подписване."
  • question: "Защо ме молите да актуализирам моите Mac приложения?" answer: "OpenAI проактивно изисква от потребителите на macOS да актуализират своите приложения поради идентифицирано излагане в работен процес на GitHub Actions, който е бил част от процеса на подписване на macOS приложения. Въпреки че няма доказателства за злоупотреба, OpenAI ротира своите сертификати за нотаризация и подписване на код от предпазливост. Актуализирането на вашите Mac приложения гарантира, че те са подписани с новия, сигурен сертификат, което потвърждава, че софтуерът наистина произхожда от OpenAI и не е бил манипулиран, като по този начин предпазва от потенциални бъдещи опити за имитация и осигурява целостта на инсталираните ви приложения."
  • question: "Какво ще се случи след 8 май 2026 г.?" answer: "След 8 май 2026 г. по-стари версии на macOS десктоп приложенията на OpenAI — по-специално ChatGPT Desktop (по-ранна от 1.2026.051), Codex App (по-ранна от 26.406.40811), Codex CLI (по-ранна от 0.119.0) и Atlas (по-ранна от 1.2026.84.2) — вече няма да получават актуализации или официална поддръжка. По-критично, тези по-стари версии може да спрат да функционират изцяло, тъй като защитите за сигурност на macOS ще започнат да блокират изтеглянията и стартирането на приложения, подписани с отменения сертификат. На потребителите силно се препоръчва да актуализират преди тази дата, за да поддържат пълна функционалност и сигурност и да избегнат всякакви прекъсвания на услугата."
  • question: "Защо не отменяте сертификата незабавно?" answer: "OpenAI е избрал поетапен подход за отмяна на сертификати, като прилага 30-дневен прозорец преди пълното отменяне на 8 май 2026 г. Това решение е взето, за да се сведе до минимум прекъсването за потребителите. Въпреки че новите нотаризации с предишния сертификат вече са блокирани, незабавната пълна отмяна би накарала macOS да блокира изтеглянията и първите стартирания на съществуващи приложения, подписани с този сертификат. Гратисният период позволява на потребителите да актуализират своите приложения гладко чрез вградени механизми, осигурявайки непрекъснатост на услугата, като същевременно намалява риска. OpenAI активно наблюдава за злоупотреби и е готов да ускори отмяната, ако е необходимо."

# Компрометиране на инструменти за разработчици на Axios: OpenAI отговаря на атака по веригата на доставки

## Разглеждане на компрометирането на инструмента за разработчици на Axios: Преглед

OpenAI наскоро обяви инцидент със сигурността, включващ Axios, широко използван инструмент за разработчици от трета страна, който беше компрометиран като част от по-широка индустриална атака по веригата на доставки на софтуер. Този инцидент, първоначално докладван на 31 март 2026 г. от Google Cloud, подчерта уязвимост, при която злонамерена версия на Axios (версия 1.14.1) е била случайно изпълнена. За OpenAI това се е случило в рамките на специфичен работен процес на GitHub Actions, използван за процеса на подписване на macOS приложения.

Въпреки потенциалното излагане, задълбоченото разследване на OpenAI не е открило доказателства, че потребителски данни са били достъпвани, вътрешни системи или интелектуална собственост са били компрометирани, или че който и да е от софтуерите му е бил променен. Компанията подчерта ангажимента си за прозрачност и бързи действия, незабавно инициирайки цялостен отговор за смекчаване на всякакви теоретични рискове и информиране на потребителската си база. Този проактивен подход подчертава критичната важност на сигурността на веригата на доставки в съвременното разработване на софтуер, особено за инструменти за разработчици, които са дълбоко интегрирани в производствените работни процеси.

## Проактивен отговор на OpenAI и подобрени мерки за сигурност

В отговор на компрометирането на Axios, OpenAI предприе решителни стъпки за защита на своите macOS приложения и потребителско доверие. В основата на тяхната стратегия е ротацията и отмяната на сертификати за сигурност, използвани за подписване на техните macOS приложения. Работен процес на GitHub Actions, отговарящ за процеса на подписване на macOS приложения, временно е изтеглил и изпълнил злонамерената версия на Axios. Този работен процес е имал достъп до критични материали за сертификати и нотаризация, съществени за удостоверяване на автентичността на приложенията на OpenAI, като ChatGPT Desktop, [Codex App](/bg/openai-gpt-5-2-codex), Codex CLI и Atlas.

Въпреки че първоначалният анализ предполага, че сертификатът за подписване вероятно не е бил успешно извлечен от злонамерения полезен товар поради времето и последователността на събитията, OpenAI третира сертификата като компрометиран от излишък на предпазливост. Тази проактивна позиция означава, че всички потребители на macOS вече са задължени да актуализират своите OpenAI приложения до най-новите версии. Тази мярка е от решаващо значение за предотвратяване на всякакви потенциални опити от страна на неоторизирани субекти да разпространяват фалшиви приложения, които могат да изглеждат като легитимен софтуер на OpenAI, като по този начин поддържат целостта и сигурността на тяхната екосистема.

## Засегнати macOS приложения и необходими актуализации

Инцидентът със сигурността е насочен конкретно към macOS приложенията на OpenAI, което налага незабавни актуализации за потребителите. Компрометирането на инструмента за разработчици на Axios засегна предимно процеса на подписване на тези настолни приложения. Потребителите на ChatGPT Desktop, Codex App, Codex CLI и Atlas на macOS се призовават да актуализират своя софтуер до най-новите версии. Това гарантира, че техните приложения са подписани с новия, сигурен сертификат на OpenAI, което е жизненоважно за поддържане на доверието и сигурността, очаквани от официалния софтуер.

Считано от 8 май 2026 г., по-стари версии на тези macOS приложения вече няма да получават актуализации или поддръжка и може да станат нефункционални. Този краен срок е определен, за да осигури достатъчен прозорец за потребителите да преминат към новите, сигурно подписани версии. По-долу е дадена таблица, описваща засегнатите приложения и минималните необходими версии, които включват актуализирания сертификат:

| Приложение        | Минимална актуализирана версия |
| :---------------- | :---------------------- |
| ChatGPT Desktop    | 1.2026.051              |
| Codex App          | 26.406.40811            |
| Codex CLI          | 0.119.0                 |
| Atlas              | 1.2026.84.2             |

Потребителите трябва да изтеглят актуализации само чрез известия в приложението или чрез официални връзки за изтегляне, предоставени директно от OpenAI. Избягвайте всякакви връзки, получени чрез нежелани имейли, съобщения или уебсайтове на трети страни, тъй като те могат да бъдат злонамерени опити за експлоатация на ситуацията.

## Разследване, отстраняване и сигурност на веригата на доставки

Отговорът на OpenAI включва задълбочено разследване, при което е ангажирана фирма за дигитална криминалистика и реагиране при инциденти от трета страна. Основните усилия за отстраняване включваха ротация на сертификата за подписване на код за macOS, публикуване на нови компилации на всички засегнати macOS продукти с този нов сертификат и сътрудничество с Apple за предотвратяване на нова нотаризация на софтуер, подписан с предишния сертификат. Компанията също така усърдно прегледа всички нотаризации, направени с предишния сертификат, потвърждавайки, че не е настъпила неочаквана нотаризация на софтуер, и валидира, че публикуваният софтуер е останал свободен от неоторизирани модификации.

Основната причина за този инцидент беше идентифицирана като неправилна конфигурация в работния процес на GitHub Actions, по-специално използването на плаващ таг за зависимост вместо фиксиран, специфичен хеш на commit, и липсата на конфигуриран `minimumReleaseAge` за нови пакети. Тази уязвимост във веригата на доставки на [GitHub Actions](/bg/github-agentic-workflows) позволи изпълнението на злонамерената версия на Axios. Оттогава OpenAI е отстранил тази неправилна конфигурация, засилвайки сигурността на своя CI/CD канал срещу подобни атаки по веригата на доставки. Този инцидент служи като критично напомняне за всички разработчици да прилагат стабилни практики за сигурност на веригата на доставки, включително внимателно управление на зависимостите и конфигуриране на работния процес.

## Гарантиране на потребителското доверие и защита на данните

Основната грижа на OpenAI през целия този инцидент е сигурността и поверителността на потребителската информация. Чрез бързото разкриване на проблема и предприемането на изчерпателни мерки, те целят да засилят потребителското доверие. Ангажиментът на компанията към прозрачност е очевиден в нейното подробно публично изявление и предоставянето на обширен раздел с често задавани въпроси за пряко адресиране на потребителските притеснения. Те потвърдиха, че не са засегнати потребителски пароли или API ключове на OpenAI, а инцидентът е изолиран до процеса на подписване на macOS приложения.

Поетапният подход към отмяната на сертификати, с 30-дневен прозорец преди 8 май 2026 г., също демонстрира потребителски ориентирана перспектива. Този гратисен период позволява на потребителите да актуализират своите приложения без незабавно прекъсване, осигурявайки непрекъснатост на услугата, като същевременно постепенно отменят потенциално компрометирания сертификат. OpenAI продължава да наблюдава за всякакви индикатори за злоупотреба и се е ангажирал да ускори графика за отмяна, ако бъде открита злонамерена дейност.

## Основни изводи за потребителите на OpenAI macOS

За всички потребители на macOS приложенията на OpenAI, най-критичното действие е незабавно да актуализират своя софтуер. По този начин гарантирате, че вашите приложения са подписани с новия, сигурен сертификат, предпазвайки ви от потенциални атаки за имитация и осигурявайки продължителна функционалност след 8 май 2026 г. Винаги получавайте актуализации директно от официалните канали на OpenAI – или чрез подкани в приложението, или от техния официален уебсайт. Избягвайте източници на трети страни или подозрителни връзки. Въпреки че инцидентът представляваше теоретичен риск за автентичността на macOS приложенията, бързият и изчерпателен отговор на OpenAI ефективно овладя потенциалното въздействие, позволявайки на потребителите да продължат да използват техните иновативни AI инструменти с увереност.

Оригинален източник

https://openai.com/index/axios-developer-tool-compromise/

Често задавани въпроси

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Бъдете информирани

Получавайте последните AI новини по имейл.

Сподели