Were OpenAI products or user data compromised?

No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.

Have you seen malware signed as OpenAI?

OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.

Do I need to change my password?

No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.

Does this affect iOS, Android, Linux, or Windows?

No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.

Why are you asking me to update my Mac apps?

OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.

What happens after May 8, 2026?

After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.

Why are you not revoking the certificate immediately?

OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Axiosi arendajavahendi kompromiss: OpenAI reageerib tarneahela rünnakule

Axiosi arendajavahendi kompromissi käsitlemine: ülevaade

OpenAI teatas hiljuti turvaintsidendist, mis hõlmas Axiosi, laialdaselt kasutatavat kolmanda osapoole arendajavahendit, mis kompromiteeriti osana laiemast tööstusharuülesest tarkvara tarneahela rünnakust. See intsident, millest Google Cloud algselt teatas 31. märtsil 2026, tõi esile haavatavuse, kus pahatahtlik Axiosi versioon (versioon 1.14.1) käivitati tahtmatult. OpenAI jaoks toimus see konkreetses GitHub Actionsi töövoos, mida kasutati macOS-i rakenduste allkirjastamise protsessis.

Hoolimata potentsiaalsest avaldumisest ei ole OpenAI põhjalik uurimine leidnud tõendeid selle kohta, et kasutajaandmetele oleks juurde pääsetud, sisesüsteemid või intellektuaalomand oleks kompromiteeritud või et nende tarkvara oleks muudetud. Ettevõte rõhutas oma pühendumust läbipaistvusele ja kiirele tegutsemisele, algatades koheselt ulatusliku vastuse mis tahes teoreetiliste riskide leevendamiseks ja oma kasutajaskonna teavitamiseks. See ennetav lähenemine rõhutab tarneahela turvalisuse kriitilist tähtsust kaasaegses tarkvaraarenduses, eriti arendajavahendite puhul, mis on sügavalt integreeritud tootmistöövoogudesse.

OpenAI ennetav vastus ja täiustatud turvameetmed

Vastuseks Axiosi kompromissile on OpenAI võtnud otsustavaid samme oma macOS-i rakenduste ja kasutajate usalduse kaitsmiseks. Nende strateegia tuumaks on macOS-i rakenduste allkirjastamiseks kasutatavate turvasertifikaatide rotatsioon ja tühistamine. GitHub Actionsi töövoog, mis vastutab macOS-i rakenduste allkirjastamise protsessi eest, laadis ajutiselt alla ja käivitas pahatahtliku Axiosi versiooni. Sellel töövoogul oli juurdepääs kriitilistele sertifikaadi- ja notariaalsetele materjalidele, mis on olulised OpenAI rakenduste, nagu ChatGPT Desktop, Codex App, Codex CLI ja Atlas, autentsuse kontrollimiseks.

Kuigi esialgne analüüs viitab sellele, et allkirjastussertifikaati pahatahtliku koormaga tõenäoliselt edukalt ei eksfiltreeritud sündmuste ajastuse ja järjekorra tõttu, käsitleb OpenAI sertifikaati ülima ettevaatusega kompromiteerituna. See ennetav seisukoht tähendab, et kõigil macOS-i kasutajatel on nüüd kohustus värskendada oma OpenAI rakendused uusimatesse versioonidesse. See meede on ülioluline, et vältida volitamata üksuste võimalikke katseid levitada võltsrakendusi, mis võivad näida olevat legitiimne OpenAI tarkvara, toetades seeläbi nende ökosüsteemi terviklikkust ja turvalisust.

Mõjutatud macOS-i rakendused ja nõutavad värskendused

Turvaintsident on suunatud spetsiaalselt OpenAI macOS-i rakendustele, nõudes kasutajatelt koheseid värskendusi. Axiosi arendajavahendi kompromiss mõjutas eelkõige nende töölauarakenduste allkirjastamise protsessi. ChatGPT Desktopi, Codex Appi, Codex CLI ja Atlasi kasutajatel macOS-is palutakse tungivalt oma tarkvara uusimatele versioonidele värskendada. See tagab, et nende rakendused on allkirjastatud OpenAI uue, turvalise sertifikaadiga, mis on ametlikult tarkvaralt oodatava usalduse ja turvalisuse säilitamiseks ülioluline.

Alates 8. maist 2026 ei saa nende macOS-i rakenduste vanemad versioonid enam värskendusi ega tuge ning võivad muutuda mittetöötavateks. See tähtaeg on seatud andma kasutajatele piisava ajavahemiku uutele, turvaliselt allkirjastatud versioonidele üleminekuks. Allpool on tabel, mis kirjeldab mõjutatud rakendusi ja minimaalselt nõutavaid versioone, mis sisaldavad värskendatud sertifikaati:

Application	Minimum Updated Version
ChatGPT Desktop	1.2026.051
Codex App	26.406.40811
Codex CLI	0.119.0
Atlas	1.2026.84.2

Kasutajad peaksid värskendusi alla laadima ainult rakendusesiseste teatiste kaudu või OpenAI otse pakutavate ametlike allalaadimislinkide kaudu. Vältige linke, mis on saadud soovimatute e-kirjade, sõnumite või kolmanda osapoole veebisaitide kaudu, kuna need võivad olla pahatahtlikud katsed olukorda ära kasutada.

Uurimine, parandusmeetmed ja tarneahela turvalisus

OpenAI vastus hõlmas põhjalikku uurimist, kaasates kolmanda osapoole digitaalse kohtuekspertiisi ja intsidentidele reageerimise firma. Peamised parandusmeetmed hõlmasid macOS-i koodi allkirjastamise sertifikaadi vahetamist, kõigi mõjutatud macOS-i toodete uute versioonide avaldamist selle uue sertifikaadiga ja koostööd Apple'iga, et vältida eelmise sertifikaadiga allkirjastatud tarkvara uuesti notariaalset kinnitamist. Ettevõte vaatas hoolikalt läbi ka kõik varasema sertifikaadiga tehtud notariaalsed kinnitused, kinnitades, et ootamatut tarkvara notariaalset kinnitamist ei toimunud, ja kinnitas, et avaldatud tarkvara jäi volitamata muudatustest vabaks.

Selle intsidendi algpõhjuseks tuvastati GitHub Actionsi töövoo väärkonfiguratsioon, täpsemalt ujuva sildi kasutamine sõltuvuse jaoks fikseeritud, spetsiifilise commit-räsi asemel ja uute pakettide jaoks konfigureeritud minimumReleaseAge puudumine. See haavatavus GitHub Actionsi tarneahelas võimaldas pahatahtliku Axiosi versiooni käivitamist. OpenAI on sellest ajast alates selle väärkonfiguratsiooni lahendanud, tugevdades oma CI/CD torujuhtme turvalisust sarnaste tarneahela rünnakute vastu. See intsident on kriitiline meeldetuletus kõigile arendajatele, et nad rakendaksid tugevaid tarneahela turvapraktikaid, sealhulgas hoolikat sõltuvuste haldamist ja töövoo konfiguratsiooni.

Kasutajate usalduse ja andmekaitse tagamine

OpenAI peamine mure kogu intsidendi vältel on olnud kasutajateabe turvalisus ja privaatsus. Probleemi kiire avaldamise ja põhjalike meetmete võtmisega püüavad nad tugevdada kasutajate usaldust. Ettevõtte pühendumus läbipaistvusele on ilmne selle üksikasjalikus avalikus avalduses ja ulatusliku KKK jaotise pakkumises kasutajate murede otse lahendamiseks. Nad kinnitasid, et kasutajaparoolid ega OpenAI API võtmed ei olnud mõjutatud ning intsident piirdus macOS-i rakenduste allkirjastamise protsessiga.

Sertifikaadi tühistamise järkjärguline lähenemine, millega kaasneb 30-päevane ajavahemik enne 8. maid 2026, näitab samuti kasutajakeskset vaatenurka. See armuaeg võimaldab kasutajatel oma rakendusi värskendada ilma kohese katkestuseta, tagades teenuse järjepidevuse, samal ajal järk-järgult loobudes potentsiaalselt kompromiteeritud sertifikaadist. OpenAI jätkab kuritarvitamise indikaatorite jälgimist ja on lubanud tühistamise ajakava kiirendada, kui pahatahtlik tegevus tuvastatakse.

Peamised järeldused OpenAI macOS-i kasutajatele

Kõigi OpenAI macOS-i rakenduste kasutajate jaoks on kõige kriitilisem tegevus tarkvara koheselt värskendamine. Seda tehes tagate, et teie rakendused on allkirjastatud uue, turvalise sertifikaadiga, kaitstes teid võimalike identiteedivarguse rünnakute eest ja tagades funktsionaalsuse jätkumise pärast 8. maid 2026. Hankige värskendusi alati otse OpenAI ametlikest kanalitest – kas rakendusesiseste viipade kaudu või nende ametlikult veebisaidilt. Vältige kolmanda osapoole allikaid või kahtlaseid linke. Kuigi intsident kujutas endast teoreetilist riski macOS-i rakenduste autentsusele, on OpenAI kiire ja terviklik vastus potentsiaalse mõju tõhusalt piiranud, võimaldades kasutajatel jätkata oma uuenduslike AI-tööriistade enesekindlalt kasutamist.

Axiosi arendajavahendi kompromiss: OpenAI reageerib tarneahela rünnakule

Axiosi arendajavahendi kompromiss: OpenAI reageerib tarneahela rünnakule

Axiosi arendajavahendi kompromissi käsitlemine: ülevaade

OpenAI ennetav vastus ja täiustatud turvameetmed

Mõjutatud macOS-i rakendused ja nõutavad värskendused

Uurimine, parandusmeetmed ja tarneahela turvalisus

Kasutajate usalduse ja andmekaitse tagamine

Peamised järeldused OpenAI macOS-i kasutajatele

Korduma kippuvad küsimused

Püsige kursis