Code Velocity
Gervigreindaröryggi

Axios þróunartækisárás: OpenAI bregst við árás á birgðakeðju

·11 mín lestur·OpenAI·Upprunaleg heimild
Deila
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Viðbrögð OpenAI við Axios þróunartækisárásinni, sem undirstrikar öryggisuppfærslur fyrir macOS forrit.

Axios þróunartækisárás: OpenAI bregst við árás á birgðakeðju

Tekist á við Axios þróunartækisárásina: Yfirlit

OpenAI tilkynnti nýlega um öryggisatvik sem tengdist Axios, mikið notuðu þróunartæki frá þriðja aðila, sem var brotið sem hluti af víðtækri árás á hugbúnaðarbirgðakeðju í greininni. Þetta atvik, sem fyrst var tilkynnt þann 31. mars 2026 af Google Cloud, varpaði ljósi á veikleika þar sem skaðleg útgáfa af Axios (útgáfa 1.14.1) var óviljandi keyrð. Fyrir OpenAI gerðist þetta innan sérstaks GitHub Actions vinnuferlis sem notað var fyrir undirritunarferli macOS forrita.

Þrátt fyrir hugsanlega varnarleysi hefur ítarleg rannsókn OpenAI ekki fundið neinar vísbendingar um að aðgangur hafi verið fenginn að notendagögnum, að innri kerfi eða hugverkaréttur hafi verið brotinn, eða að hugbúnaði þess hafi verið breytt. Fyrirtækið lagði áherslu á skuldbindingu sína um gagnsæi og skjót viðbrögð, og hóf strax víðtæk viðbrögð til að draga úr öllum fræðilegum áhættum og upplýsa notendahóp sinn. Þessi fyrirbyggjandi nálgun undirstrikar mikilvægi öryggis birgðakeðjunnar í nútíma hugbúnaðarþróun, sérstaklega fyrir þróunartæki sem eru djúpt samþætt framleiðsluferlum.

Virk viðbrögð OpenAI og auknar öryggisráðstafanir

Til að bregðast við Axios árásinni hefur OpenAI gripið til afgerandi skrefa til að vernda macOS forrit sín og traust notenda. Kjarni stefnu þeirra felur í sér endurnýjun og afturköllun öryggisvottorða sem notuð eru til að undirrita macOS forrit þeirra. GitHub Actions vinnuferli, sem ber ábyrgð á undirritunarferli macOS forrita, hlaðið tímabundið niður og keyrði skaðlegu Axios útgáfuna. Þetta vinnuferli hafði aðgang að mikilvægum vottorða- og staðfestingargögnum sem eru nauðsynleg til að sannreyna áreiðanleika forrita OpenAI, svo sem ChatGPT Desktop, Codex App, Codex CLI og Atlas.

Þótt upphafleg greining bendi til þess að undirritunarvottorðið hafi líklega ekki verið síað út af skaðlega hleðslunni vegna tímasetningar og röð atburða, meðhöndlar OpenAI vottorðið sem brotið af mikilli varúð. Þessi fyrirbyggjandi afstaða þýðir að allir macOS notendur eru nú beðnir um að uppfæra OpenAI forrit sín í nýjustu útgáfur. Þessi ráðstöfun er mikilvæg til að koma í veg fyrir hugsanlegar tilraunir óviðkomandi aðila til að dreifa fölsuðum forritum sem gætu virst vera lögmætur hugbúnaður OpenAI, og viðhalda þannig heilleika og öryggi vistkerfis þeirra.

Áhrif á macOS forrit og nauðsynlegar uppfærslur

Öryggisatvikið beinist sérstaklega að macOS forritum OpenAI, sem gerir tafarlausa uppfærslu nauðsynlega fyrir notendur. Árásin á Axios þróunartækið hafði aðallega áhrif á undirritunarferlið fyrir þessi skjáborðsforrit. Notendur ChatGPT Desktop, Codex App, Codex CLI og Atlas á macOS eru hvattir til að uppfæra hugbúnað sinn í nýjustu útgáfur. Þetta tryggir að forrit þeirra séu undirrituð með nýju, öruggu vottorði OpenAI, sem er mikilvægt til að viðhalda trausti og öryggi sem vænst er af opinberum hugbúnaði.

Frá og með 8. maí 2026 munu eldri útgáfur af þessum macOS forritum hætta að fá uppfærslur eða stuðning, og gætu orðið óvirk. Þessi frestur er settur til að veita nægjanlegan tíma fyrir notendur að skipta yfir í nýjar, örugglega undirritaðar útgáfur. Hér fyrir neðan er tafla sem sýnir forritin sem urðu fyrir áhrifum og lágmarks nauðsynlegar útgáfur sem innihalda uppfærða vottorðið:

ForritLágmarks uppfærð útgáfa
ChatGPT Desktop1.2026.051
Codex App26.406.40811
Codex CLI0.119.0
Atlas1.2026.84.2

Notendur ættu aðeins að hlaða niður uppfærslum í gegnum tilkynningar í forritum eða í gegnum opinbera niðurhalsstengla sem OpenAI veitir beint. Forðastu alla tengla sem berast í gegnum óumbeðinn tölvupóst, skilaboð eða vefsíður þriðja aðila, þar sem þetta gætu verið skaðlegar tilraunir til að misnota ástandið.

Rannsókn, úrbætur og öryggi birgðakeðjunnar

Viðbrögð OpenAI fólust í ítarlegri rannsókn, þar sem notast var við óháð stafræn réttarrannsóknar- og atviksstýringarfyrirtæki. Helstu úrbætur fólust í því að endurnýja macOS kóða undirritunarvottorðið, gefa út nýjar byggingar af öllum viðkomandi macOS vörum með þessu nýja vottorði, og í samstarfi við Apple til að koma í veg fyrir að hugbúnaður sem undirritaður er með fyrra vottorðinu sé nýlega staðfestur. Fyrirtækið skoðaði einnig vandlega allar staðfestingar sem gerðar voru með fyrra vottorðinu, staðfesti að engin óvænt hugbúnaðarstaðfesting hafði átt sér stað og staðfesti að útgefinn hugbúnaður væri laus við óviðkomandi breytingar.

Rót vandans var greind sem rangstilling í GitHub Actions vinnuferlinu, nánar tiltekið notkun fljótandi merkis fyrir ósjálfstæði í stað fasts, ákveðins commit hash, og skortur á stilltu minimumReleaseAge fyrir nýja pakka. Þessi veikleiki í GitHub Actions birgðakeðjunni leyfði skaðlegu Axios útgáfunni að vera keyrð. OpenAI hefur síðan tekist á við þessa rangstillingu, og styrkt öryggi CI/CD leiðslu sinnar gegn svipuðum árásum á birgðakeðju. Þetta atvik þjónar sem mikilvæg áminning fyrir alla þróunaraðila að innleiða öflugar öryggisaðferðir í birgðakeðjunni, þar á meðal vandlega stjórnun ósjálfstæðis og stillingu vinnuferla.

Að tryggja traust notenda og gagnavernd

Aðal áhyggjuefni OpenAI í gegnum þetta atvik hefur verið öryggi og friðhelgi notendaupplýsinga. Með því að upplýsa tafarlaust um málið og grípa til ítarlegra ráðstafana stefna þeir að því að styrkja traust notenda. Skuldbinding fyrirtækisins um gagnsæi er augljós í ítarlegri opinberri yfirlýsingu þeirra og ítarlegum FAQ kafla til að taka beint á áhyggjum notenda. Þeir staðfestu að engin lykilorð notenda eða OpenAI API lyklar urðu fyrir áhrifum, og atvikið var einangrað við undirritunarferli macOS forrita.

Stigbundin nálgun við afturköllun vottorðs, með 30 daga glugga fyrir 8. maí 2026, sýnir einnig notenda-miðlægt sjónarhorn. Þessi náðartími gerir notendum kleift að uppfæra forrit sín án tafarlausra truflana, sem tryggir samfellu þjónustu á sama tíma og hugsanlegri áhættu er dregið úr. OpenAI heldur áfram að fylgjast með vísbendingum um misnotkun og hefur lofað að flýta fyrir afturköllunartímabilinu ef skaðleg starfsemi greinist.

Helstu atriði fyrir OpenAI macOS notendur

Fyrir alla notendur OpenAI macOS forrita er mikilvægasta aðgerðin að uppfæra hugbúnaðinn þinn strax. Með því tryggirðu að forritin þín séu undirrituð með nýju, örugga vottorðinu, og verndar þig gegn hugsanlegum eftirlíkingarárásum og tryggir áframhaldandi virkni eftir 8. maí 2026. Fáðu alltaf uppfærslur beint frá opinberum OpenAI rásum – annaðhvort í gegnum tilkynningar í forritum eða frá opinberri vefsíðu þeirra. Forðastu þriðja aðila eða grunsamlega tengla. Þótt atvikið hafi valdið fræðilegri áhættu fyrir áreiðanleika macOS forrita, hafa skjót og ítarleg viðbrögð OpenAI á áhrifaríkan hátt dregið úr hugsanlegum áhrifum, sem gerir notendum kleift að halda áfram að nýta nýstárleg gervigreindartæki sín með trausti.

Upprunaleg heimild

https://openai.com/index/axios-developer-tool-compromise/

Algengar spurningar

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Fylgstu með

Fáðu nýjustu gervigreindarfréttirnar í pósthólfið.

Deila