Were OpenAI products or user data compromised?

No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.

Have you seen malware signed as OpenAI?

OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.

Do I need to change my password?

No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.

Does this affect iOS, Android, Linux, or Windows?

No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.

Why are you asking me to update my Mac apps?

OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.

What happens after May 8, 2026?

After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.

Why are you not revoking the certificate immediately?

OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Kompromitacija alata za razvojne programere Axios: OpenAI odgovara na napad na lanac opskrbe

Rješavanje kompromitacije alata za razvojne programere Axios: Pregled

OpenAI je nedavno objavio sigurnosni incident koji uključuje Axios, široko korišteni alat za razvojne programere treće strane, koji je kompromitiran kao dio šireg industrijskog napada na lanac opskrbe softverom. Ovaj incident, koji je prvobitno prijavio Google Cloud 31. ožujka 2026., naglasio je ranjivost gdje je zlonamjerna verzija Axiosa (verzija 1.14.1) nehotice izvršena. Za OpenAI, to se dogodilo unutar specifičnog GitHub Actions radnog tijeka korištenog za proces potpisivanja macOS aplikacija.

Unatoč potencijalnoj izloženosti, detaljna istraga OpenAI-ja nije pronašla dokaze da su korisnički podaci bili pristupani, da su interni sustavi ili intelektualno vlasništvo bili kompromitirani, ili da je bilo koji njegov softver bio izmijenjen. Tvrtka je naglasila svoju predanost transparentnosti i brzom djelovanju, odmah pokrećući sveobuhvatan odgovor kako bi ublažila sve teoretske rizike i informirala svoju korisničku bazu. Ovaj proaktivni pristup podcrtava kritičnu važnost sigurnosti lanca opskrbe u modernom razvoju softvera, posebno za alate za razvojne programere koji su duboko integrirani u proizvodne radne tokove.

Proaktivni odgovor OpenAI-ja i poboljšane sigurnosne mjere

Kao odgovor na kompromitaciju Axiosa, OpenAI je poduzeo odlučne korake kako bi zaštitio svoje macOS aplikacije i povjerenje korisnika. Srž njihove strategije uključuje rotaciju i opoziv sigurnosnih certifikata korištenih za potpisivanje njihovih macOS aplikacija. GitHub Actions radni tijek, odgovoran za proces potpisivanja macOS aplikacija, privremeno je preuzeo i izvršio zlonamjernu verziju Axiosa. Ovaj radni tijek imao je pristup kritičnim certifikacijskim i bilježničkim materijalima ključnim za provjeru autentičnosti OpenAI-jevih aplikacija, kao što su ChatGPT Desktop, Codex App, Codex CLI i Atlas.

Iako početna analiza sugerira da certifikat za potpisivanje vjerojatno nije uspješno eksfiltriran zlonamjernim teretom zbog vremena i slijeda događaja, OpenAI tretira certifikat kao kompromitiran iz obilja opreza. Ovaj proaktivni stav znači da su svi macOS korisnici sada dužni ažurirati svoje OpenAI aplikacije na najnovije verzije. Ova mjera je ključna za sprječavanje bilo kakvih potencijalnih pokušaja neovlaštenih subjekata da distribuiraju lažne aplikacije koje bi mogle izgledati kao legitimni OpenAI softver, čime se održava integritet i sigurnost njihovog ekosustava.

Pogođene macOS aplikacije i potrebna ažuriranja

Sigurnosni incident specifično cilja OpenAI-jeve macOS aplikacije, zahtijevajući hitna ažuriranja za korisnike. Kompromitacija alata za razvojne programere Axios prvenstveno je utjecala na proces potpisivanja za ove desktop aplikacije. Korisnici ChatGPT Desktop, Codex App, Codex CLI i Atlas na macOS-u potiču se da ažuriraju svoj softver na najnovije verzije. To osigurava da su njihove aplikacije potpisane novim, sigurnim certifikatom OpenAI-ja, što je ključno za održavanje povjerenja i sigurnosti koje se očekuju od službenog softvera.

Počevši od 8. svibnja 2026., starije verzije ovih macOS aplikacija više neće primati ažuriranja niti podršku, a mogu postati i nefunkcionalne. Ovaj rok postavljen je kako bi se korisnicima pružio dovoljan prozor za prijelaz na nove, sigurno potpisane verzije. Ispod je tablica koja detaljno opisuje pogođene aplikacije i minimalne potrebne verzije koje uključuju ažurirani certifikat:

Aplikacija	Minimalna ažurirana verzija
ChatGPT Desktop	1.2026.051
Codex App	26.406.40811
Codex CLI	0.119.0
Atlas	1.2026.84.2

Korisnici bi trebali preuzimati ažuriranja samo putem obavijesti unutar aplikacije ili putem službenih veza za preuzimanje koje izravno pruža OpenAI. Izbjegavajte sve veze primljene putem neželjene e-pošte, poruka ili web stranica trećih strana, jer to mogu biti zlonamjerni pokušaji iskorištavanja situacije.

Istraga, sanacija i sigurnost lanca opskrbe

Odgovor OpenAI-ja uključivao je detaljnu istragu, angažirajući vanjsku tvrtku za digitalnu forenziku i odgovor na incidente. Ključni napori za sanaciju uključivali su rotaciju macOS certifikata za potpisivanje koda, objavljivanje novih verzija svih pogođenih macOS proizvoda s ovim novim certifikatom i suradnju s Appleom kako bi se spriječilo da bilo koji softver potpisan prethodnim certifikatom bude novo ovjeren. Tvrtka je također pažljivo pregledala sve ovjere izvršene s prethodnim certifikatom, potvrđujući da se nije dogodila nikakva neočekivana ovjera softvera, te je potvrdila da objavljeni softver ostaje slobodan od neovlaštenih izmjena.

Temeljni uzrok ovog incidenta identificiran je kao pogrešna konfiguracija u GitHub Actions radnom tijeku, specifično korištenje plutajuće oznake za ovisnost umjesto prikvačenog, specifičnog commit hasha, te nedostatak konfiguriranog minimumReleaseAge za nove pakete. Ova ranjivost u lancu opskrbe GitHub Actions omogućila je izvršavanje zlonamjerne verzije Axiosa. OpenAI je od tada riješio ovu pogrešnu konfiguraciju, pojačavajući sigurnost svog CI/CD cjevovoda protiv sličnih napada na lanac opskrbe. Ovaj incident služi kao kritičan podsjetnik svim razvojnim programerima da implementiraju robusne sigurnosne prakse lanca opskrbe, uključujući pažljivo upravljanje ovisnostima i konfiguraciju radnog tijeka.

Osiguravanje povjerenja korisnika i zaštite podataka

Glavna briga OpenAI-ja tijekom ovog incidenta bila je sigurnost i privatnost korisničkih informacija. Brzim otkrivanjem problema i poduzimanjem iscrpnih mjera, cilj im je ojačati povjerenje korisnika. Predanost tvrtke transparentnosti vidljiva je u njezinoj detaljnoj javnoj izjavi i pružanju opsežnog odjeljka s često postavljanim pitanjima (FAQ) kako bi se izravno odgovorilo na brige korisnika. Potvrdili su da nijedna korisnička lozinka ili OpenAI API ključ nisu pogođeni, a incident je bio izoliran na proces potpisivanja macOS aplikacija.

Fazni pristup opozivu certifikata, s 30-dnevnim prozorom prije 8. svibnja 2026., također pokazuje korisnički usmjerenu perspektivu. Ovo razdoblje odgode omogućuje korisnicima da ažuriraju svoje aplikacije bez neposrednog prekida, osiguravajući kontinuitet usluge dok se postupno ukida potencijalno kompromitirani certifikat. OpenAI nastavlja pratiti sve pokazatelje zloupotrebe i obećao je ubrzati vremenski okvir opoziva ako se otkrije zlonamjerna aktivnost.

Ključni zaključci za korisnike OpenAI macOS-a

Za sve korisnike OpenAI-jevih macOS aplikacija, najkritičnija radnja je odmah ažurirati svoj softver. Na taj način osiguravate da su vaše aplikacije potpisane novim, sigurnim certifikatom, štiteći vas od potencijalnih napada lažnog predstavljanja i osiguravajući kontinuiranu funkcionalnost nakon 8. svibnja 2026. Uvijek preuzimajte ažuriranja izravno s službenih OpenAI kanala—bilo putem obavijesti unutar aplikacije ili njihove službene web stranice. Izbjegavajte izvore trećih strana ili sumnjive veze. Iako je incident predstavljao teoretski rizik za autentičnost macOS aplikacija, brzi i sveobuhvatni odgovor OpenAI-ja učinkovito je obuzdao potencijalni utjecaj, omogućujući korisnicima da nastave koristiti svoje inovativne AI alate s povjerenjem.

Kompromitacija alata za razvojne programere Axios: OpenAI odgovara na napad na lanac opskrbe

Kompromitacija alata za razvojne programere Axios: OpenAI odgovara na napad na lanac opskrbe

Rješavanje kompromitacije alata za razvojne programere Axios: Pregled

Proaktivni odgovor OpenAI-ja i poboljšane sigurnosne mjere

Pogođene macOS aplikacije i potrebna ažuriranja

Istraga, sanacija i sigurnost lanca opskrbe

Osiguravanje povjerenja korisnika i zaštite podataka

Ključni zaključci za korisnike OpenAI macOS-a

Često postavljana pitanja

Budite u toku