Were OpenAI products or user data compromised?

No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.

Have you seen malware signed as OpenAI?

OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.

Do I need to change my password?

No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.

Does this affect iOS, Android, Linux, or Windows?

No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.

Why are you asking me to update my Mac apps?

OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.

What happens after May 8, 2026?

After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.

Why are you not revoking the certificate immediately?

OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Kompromiso sa Axios Developer Tool: Tumugon ang OpenAI sa Supply Chain Attack

Tinutugunan ang Kompromiso sa Axios Developer Tool: Isang Pangkalahatang-ideya

Kamakailan ay inihayag ng OpenAI ang isang insidente ng seguridad na kinasasangkutan ng Axios, isang malawakang ginagamit na third-party na developer tool, na nakompromiso bilang bahagi ng mas malawak na atake sa supply chain ng software sa buong industriya. Ang insidenteng ito, na unang iniulat noong Marso 31, 2026, ng Google Cloud, ay nagbigay-diin sa isang kahinaan kung saan ang isang malisyosong bersyon ng Axios (bersyon 1.14.1) ay hindi sinasadyang naisakatuparan. Para sa OpenAI, nangyari ito sa loob ng isang partikular na GitHub Actions workflow na ginamit para sa proseso ng pag-sign ng macOS application.

Sa kabila ng potensyal na pagkalantad, walang nakitang ebidensya ang masusing imbestigasyon ng OpenAI na na-access ang data ng user, nakompromiso ang mga internal na sistema o intelektwal na ari-arian, o na nabago ang anumang software nito. Binigyang-diin ng kumpanya ang kanilang pangako sa transparency at mabilis na pagkilos, kaagad na nagsisimula ng komprehensibong tugon upang mapagaan ang anumang teoretikal na panganib at ipaalam sa kanilang mga user. Ang proactive na pamamaraang ito ay nagbibigay-diin sa kritikal na kahalagahan ng seguridad ng supply chain sa modernong pagbuo ng software, lalo na para sa mga developer tool na malalim na isinama sa mga production workflow.

Proactive na Tugon ng OpenAI at Pinahusay na Panukala sa Seguridad

Bilang tugon sa kompromiso ng Axios, gumawa ng mga mahigpit na hakbang ang OpenAI upang pangalagaan ang kanilang mga macOS application at tiwala ng user. Ang sentro ng kanilang diskarte ay kinabibilangan ng pag-ikot at pagbawi ng mga sertipiko ng seguridad na ginamit upang i-sign ang kanilang mga macOS app. Isang GitHub Actions workflow, na responsable para sa proseso ng pag-sign ng app ng macOS, ang pansamantalang nag-download at nagpatupad ng malisyosong bersyon ng Axios. Ang workflow na ito ay may access sa mga kritikal na materyales para sa sertipiko at notarization na mahalaga para sa pag-verify ng pagiging tunay ng mga application ng OpenAI, tulad ng ChatGPT Desktop, Codex App, Codex CLI, at Atlas.

Bagama't iminumungkahi ng paunang pagsusuri na ang signing certificate ay malamang na hindi matagumpay na na-exfiltrate ng malisyosong payload dahil sa timing at pagkakasunod-sunod ng mga kaganapan, tinatrato ng OpenAI ang sertipiko bilang nakompromiso bilang pag-iingat. Ang proactive na posisyong ito ay nangangahulugang ang lahat ng user ng macOS ay kinakailangan na ngayong i-update ang kanilang mga application ng OpenAI sa pinakabagong bersyon. Ang hakbang na ito ay mahalaga para maiwasan ang anumang potensyal na pagtatangka ng mga hindi awtorisadong entity na mamahagi ng mga pekeng application na maaaring lumabas na lehitimong software ng OpenAI, sa gayon ay pinapanatili ang integridad at seguridad ng kanilang ecosystem.

Mga Apektadong macOS Application at Kinakailangang Update

Partikular na tinatarget ng insidente ng seguridad na ito ang mga macOS application ng OpenAI, na nangangailangan ng agarang update para sa mga user. Ang kompromiso ng Axios developer tool ay pangunahing nakaapekto sa proseso ng pag-sign para sa mga desktop application na ito. Mahigpit na hinihikayat ang mga user ng ChatGPT Desktop, Codex App, Codex CLI, at Atlas sa macOS na i-update ang kanilang software sa pinakabagong bersyon. Tinitiyak nito na ang kanilang mga application ay naka-sign sa bago, secure na sertipiko ng OpenAI, na mahalaga para mapanatili ang tiwala at seguridad na inaasahan mula sa opisyal na software.

Simula Mayo 8, 2026, ang mga mas lumang bersyon ng mga macOS application na ito ay hindi na makakatanggap ng mga update o suporta, at maaaring hindi na gumana. Itinakda ang deadline na ito upang magbigay ng sapat na panahon para sa mga user na lumipat sa mga bago, secure na naka-sign na bersyon. Nasa ibaba ang isang talahanayan na nagdedetalye ng mga apektadong application at ang minimum na kinakailangang bersyon na naglalaman ng na-update na sertipiko:

Application	Minimum na Na-update na Bersyon
ChatGPT Desktop	1.2026.051
Codex App	26.406.40811
Codex CLI	0.119.0
Atlas	1.2026.84.2

Dapat lamang mag-download ang mga user ng mga update sa pamamagitan ng mga in-app notification o sa pamamagitan ng mga opisyal na download link na direktang ibinigay ng OpenAI. Iwasan ang anumang link na natanggap sa pamamagitan ng mga hindi hinihinging email, mensahe, o third-party na website, dahil ang mga ito ay maaaring malisyosong pagtatangka na pagsamantalahan ang sitwasyon.

Imbestigasyon, Remediation, at Seguridad ng Supply Chain

Ang tugon ng OpenAI ay kinabibilangan ng masusing imbestigasyon, na kumukuha ng isang third-party na digital forensics at incident response firm. Ang mga pangunahing pagsisikap sa remediation ay kinabibilangan ng pag-ikot ng sertipiko ng pag-sign ng code ng macOS, pag-publish ng mga bagong build ng lahat ng apektadong produkto ng macOS gamit ang bagong sertipikong ito, at pakikipagtulungan sa Apple upang maiwasan ang anumang software na naka-sign gamit ang nakaraang sertipiko na muling ma-notarize. Masigasig ding sinuri ng kumpanya ang lahat ng notarization na ginawa gamit ang naunang sertipiko, kinukumpirma na walang hindi inaasahang notarization ng software ang nangyari, at napatunayan na ang inilathalang software ay nanatiling malaya sa mga hindi awtorisadong pagbabago.

Ang ugat ng insidenteng ito ay natukoy bilang isang maling configuration sa GitHub Actions workflow, partikular ang paggamit ng isang floating tag para sa isang dependency sa halip na isang pinned, partikular na commit hash, at ang kakulangan ng isang naka-configure na minimumReleaseAge para sa mga bagong package. Ang kahinaang ito sa GitHub Actions supply chain ay nagpahintulot sa malisyosong bersyon ng Axios na maisakatuparan. Mula noon ay tinugunan na ng OpenAI ang maling configuration na ito, pinatitibay ang kanilang seguridad ng CI/CD pipeline laban sa katulad na mga atake sa supply chain. Ang insidenteng ito ay nagsisilbing kritikal na paalala para sa lahat ng developer na ipatupad ang matatag na supply chain security practices, kabilang ang maingat na pamamahala ng dependency at configuration ng workflow.

Pagtitiyak ng Tiwala ng User at Proteksyon ng Data

Ang pangunahing pag-aalala ng OpenAI sa buong insidenteng ito ay ang seguridad at privacy ng impormasyon ng user. Sa pamamagitan ng agarang pagbubunyag ng isyu at paggawa ng mga masusing hakbang, nilalayon nilang patibayin ang tiwala ng user. Ang pangako ng kumpanya sa transparency ay kitang-kita sa kanilang detalyadong pampublikong pahayag at ang pagbibigay ng isang malawak na seksyon ng FAQ upang direktang tugunan ang mga alalahanin ng user. Kinumpirma nila na walang mga password ng user o OpenAI API key ang naapektuhan, at ang insidente ay limitado sa proseso ng pag-sign ng app ng macOS.

Ang phased approach sa pagbawi ng sertipiko, na may 30-araw na window bago ang Mayo 8, 2026, ay nagpapakita rin ng user-centric na pananaw. Ang grace period na ito ay nagbibigay-daan sa mga user na i-update ang kanilang mga application nang walang agarang pagkaantala, tinitiyak ang pagpapatuloy ng serbisyo habang unti-unting inaalis ang potensyal na nakompromisong sertipiko. Patuloy na sinusubaybayan ng OpenAI ang anumang indikasyon ng maling paggamit at nangako na pabilisin ang timeline ng pagbawi kung matukoy ang malisyosong aktibidad.

Mga Pangunahing Punto para sa mga User ng OpenAI macOS

Para sa lahat ng user ng mga macOS application ng OpenAI, ang pinakamahalagang aksyon ay ang agarang pag-update ng iyong software. Sa paggawa nito, tinitiyak mo na ang iyong mga application ay naka-sign sa bago, secure na sertipiko, pinoprotektahan ka mula sa mga potensyal na pag-atake ng pagpapanggap at tinitiyak ang patuloy na paggana pagkatapos ng Mayo 8, 2026. Palaging kumuha ng mga update nang direkta mula sa mga opisyal na channel ng OpenAI—sa pamamagitan man ng mga in-app prompt o kanilang opisyal na website. Iwasan ang mga third-party na pinagmulan o kahina-hinalang link. Bagama't ang insidente ay nagdulot ng teoretikal na panganib sa pagiging tunay ng mga macOS application, ang mabilis at komprehensibong tugon ng OpenAI ay epektibong napigilan ang potensyal na epekto, na nagbibigay-daan sa mga user na patuloy na gamitin ang kanilang mga makabagong AI tool nang may kumpiyansa.

Kompromiso sa Axios Developer Tool: Tumugon ang OpenAI sa Supply Chain Attack

Kompromiso sa Axios Developer Tool: Tumugon ang OpenAI sa Supply Chain Attack

Tinutugunan ang Kompromiso sa Axios Developer Tool: Isang Pangkalahatang-ideya

Proactive na Tugon ng OpenAI at Pinahusay na Panukala sa Seguridad

Mga Apektadong macOS Application at Kinakailangang Update

Imbestigasyon, Remediation, at Seguridad ng Supply Chain

Pagtitiyak ng Tiwala ng User at Proteksyon ng Data

Mga Pangunahing Punto para sa mga User ng OpenAI macOS

Mga Karaniwang Tanong

Manatiling Updated