Code Velocity
AI Saugumas

Axios kūrėjo įrankio pažeidimas: OpenAI reaguoja į tiekimo grandinės ataką

·11 min skaitymo·OpenAI·Originalus šaltinis
Dalintis
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
OpenAI reakcija į Axios kūrėjo įrankio pažeidimą, pabrėžiant macOS programėlių saugumo atnaujinimus.

title: "Axios kūrėjo įrankio pažeidimas: OpenAI reaguoja į tiekimo grandinės ataką" slug: "axios-developer-tool-compromise" date: "2026-04-11" lang: "lt" source: "https://openai.com/index/axios-developer-tool-compromise/" category: "AI Saugumas" keywords:

  • OpenAI
  • Axios
  • kūrėjo įrankis
  • tiekimo grandinės ataka
  • macOS saugumas
  • kodo pasirašymas
  • saugumo pažeidimas
  • programinės įrangos pažeidžiamumas
  • ChatGPT Desktop
  • Codex App
  • Atlas
  • GitHub Actions meta_description: "OpenAI sprendžia saugumo incidentą, susijusį su pažeistu Axios kūrėjo įrankiu, inicijuodama macOS programėlių sertifikatų atnaujinimą. Vartotojų duomenys lieka saugūs, raginama atnaujinti programas didesniam saugumui." image: "/images/articles/axios-developer-tool-compromise.png" image_alt: "OpenAI reakcija į Axios kūrėjo įrankio pažeidimą, pabrėžiant macOS programėlių saugumo atnaujinimus." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 11 faq:
  • question: "Ar buvo pažeisti OpenAI produktai arba naudotojų duomenys?" answer: "Ne. Išsamus OpenAI tyrimas dėl Axios kūrėjo įrankio pažeidimo neaptiko jokių įrodymų, kad būtų pažeisti bet kurie OpenAI produktai arba kad būtų prieita prie naudotojų duomenų ar jie būtų atskleisti. Bendrovė patvirtino, kad jos sistemos ir intelektinė nuosavybė liko nepažeistos, o jos programinė įranga nebuvo pakeista. Šis incidentas pirmiausia buvo tiekimo grandinės ataka prieš trečiosios šalies biblioteką, ir OpenAI veikė labai atsargiai, kad apsaugotų savo macOS programas, nepaisant to, kad nebuvo tiesioginio poveikio naudotojų informacijai ar pagrindinėms sistemoms. Ši proaktyvi priemonė užtikrina nuolatinį jų platformos vientisumą ir naudotojų privatumą, net ir susidūrus su teorinėmis rizikomis."
  • question: "Ar matėte kenkėjišką programą, pasirašytą kaip OpenAI?" answer: "OpenAI patvirtino, kad, remiantis jų tyrimu, nėra jokių įrodymų, jog galimai atskleistos notarizavimo ir kodo pasirašymo medžiagos buvo panaudotos kenkėjiškai programinei įrangai pasirašyti, kuri atrodytų kaip teisėtos OpenAI programos. Visi notarizavimo įvykiai, susiję su paveiktomis medžiagomis, buvo peržiūrėti ir patvirtinti kaip teisėti. Nors tokio piktnaudžiavimo rizika buvo pagrindinė jų proaktyvaus atsako priežastis, nuolat stebima, siekiant aptikti bet kokią neleistiną veiklą. Vartotojams rekomenduojama išlikti budriems ir atsisiųsti programas tik iš oficialių šaltinių."
  • question: "Ar reikia keisti slaptažodį?" answer: "Ne, vartotojams nereikia keisti savo slaptažodžių ar OpenAI API raktų. Saugumo incidentas, susijęs su Axios kūrėjo įrankio pažeidimu, neturėjo įtakos vartotojų kredencialams ar API raktams. OpenAI vidinės sistemos, kuriose saugoma tokia jautri informacija, nebuvo pažeistos, o pažeidimo pobūdis buvo susijęs tik su macOS programų pasirašymo procesu. Vartotojai gali būti tikri, kad jų paskyros saugumas išliko nepaliestas ir jiems nereikia imtis jokių veiksmų dėl kredencialų."
  • question: "Ar tai paveikia iOS, Android, Linux ar Windows?" answer: "Ne, šis saugumo incidentas konkrečiai paveikia tik OpenAI macOS programas, įskaitant ChatGPT Desktop, Codex App, Codex CLI ir Atlas. Pažeidimas buvo susijęs su GitHub Actions darbo eiga, naudojama išskirtinai macOS programų pasirašymo procesui. Naudotojams, naudojantiems iOS, Android, Linux ar Windows platformas, įskaitant tuos, kurie pasiekia OpenAI paslaugas per žiniatinklio naršykles, šis konkretus incidentas neturi įtakos ir nereikia imtis jokių veiksmų, susijusių su šiuo pranešimu. Pažeidžiamumas buvo specifinis platformai dėl sertifikato atskleidimo pobūdžio."
  • question: "Kodėl prašote atnaujinti mano Mac programas?" answer: "OpenAI aktyviai prašo macOS naudotojų atnaujinti savo programas dėl nustatyto pažeidžiamumo GitHub Actions darbo eigoje, kuri buvo dalis macOS programų pasirašymo proceso. Nors nėra piktnaudžiavimo įrodymų, OpenAI atsargumo dėlei keičia savo notarizavimo ir kodo pasirašymo sertifikatus. Atnaujinus Mac programas, užtikrinama, kad jos yra pasirašytos nauju, saugiu sertifikatu, kuris patvirtina, jog programinė įranga tikrai kilusi iš OpenAI ir nebuvo pažeista, taip apsisaugant nuo galimų ateities bandymų apsimesti ir užtikrinant įdiegtų programų vientisumą."
  • question: "Kas nutiks po 2026 m. gegužės 8 d.?" answer: "Po 2026 m. gegužės 8 d. senesnės OpenAI macOS stalinės programos – būtent ChatGPT Desktop (senesnė nei 1.2026.051), Codex App (senesnė nei 26.406.40811), Codex CLI (senesnė nei 0.119.0) ir Atlas (senesnė nei 1.2026.84.2) – nebegalės gauti atnaujinimų ar oficialios pagalbos. Dar svarbiau, kad šios senesnės versijos gali visiškai nustoti veikti, nes macOS saugumo apsaugos pradės blokuoti programų, pasirašytų atšauktu sertifikatu, atsisiuntimus ir paleidimus. Vartotojams primygtinai rekomenduojama atnaujinti programas iki šios datos, kad išlaikytų visą funkcionalumą ir saugumą bei išvengtų paslaugų trikdžių."
  • question: "Kodėl nedelsiant neatšaukiate sertifikato?" answer: "OpenAI pasirinko etapinį sertifikato atšaukimo metodą, įgyvendindama 30 dienų laikotarpį iki visiško atšaukimo 2026 m. gegužės 8 d. Šis sprendimas buvo priimtas siekiant kuo labiau sumažinti nepatogumus vartotojams. Nors nauji notarizavimai su ankstesniu sertifikatu jau buvo užblokuoti, neatidėliotinas visiškas atšaukimas sukeltų macOS sistemos blokavimą atsisiunčiant ir pirmą kartą paleidžiant esamas programas, pasirašytas tuo sertifikatu. Pereinamasis laikotarpis leidžia vartotojams sklandžiai atnaujinti savo programas per integruotus mechanizmus, užtikrinant paslaugos tęstinumą ir kartu mažinant riziką. OpenAI aktyviai stebi piktnaudžiavimo atvejus ir yra pasirengusi prireikus pagreitinti atšaukimą."

# Axios kūrėjo įrankio pažeidimas: OpenAI reaguoja į tiekimo grandinės ataką

## „Axios“ kūrėjo įrankio pažeidimas: apžvalga

OpenAI neseniai pranešė apie saugumo incidentą, susijusį su Axios – plačiai naudojamu trečiosios šalies kūrėjo įrankiu, kuris buvo pažeistas kaip platesnės visos pramonės programinės įrangos tiekimo grandinės atakos dalis. Šis incidentas, apie kurį 2026 m. kovo 31 d. iš pradžių pranešė Google Cloud, atskleidė pažeidžiamumą, kai netyčia buvo įvykdyta kenkėjiška Axios versija (1.14.1 versija). OpenAI atveju tai įvyko konkrečioje GitHub Actions darbo eigoje, naudojamoje macOS programų pasirašymo procesui.

Nepaisant galimo poveikio, išsamus OpenAI tyrimas neaptiko jokių įrodymų, kad būtų prieita prie naudotojų duomenų, kad būtų pažeistos vidinės sistemos ar intelektinė nuosavybė, arba kad būtų pakeista bet kuri jos programinė įranga. Bendrovė pabrėžė savo įsipareigojimą skaidrumui ir greitam veiksmui, nedelsdama inicijuodama išsamų atsaką, siekiant sušvelninti bet kokias teorines rizikas ir informuoti savo vartotojų bazę. Šis proaktyvus požiūris pabrėžia itin svarbų tiekimo grandinės saugumą šiuolaikinėje programinės įrangos kūrime, ypač kūrėjų įrankiams, kurie yra giliai integruoti į gamybos darbo eigas.

## OpenAI proaktyvus atsakas ir sustiprintos saugumo priemonės

Reaguodama į Axios pažeidimą, OpenAI ėmėsi ryžtingų veiksmų, siekdama apsaugoti savo macOS programas ir vartotojų pasitikėjimą. Jų strategijos esmė yra saugumo sertifikatų, naudojamų jų macOS programoms pasirašyti, atnaujinimas ir atšaukimas. GitHub Actions darbo eiga, atsakinga už macOS programų pasirašymo procesą, laikinai atsisiuntė ir įvykdė kenkėjišką Axios versiją. Ši darbo eiga turėjo prieigą prie kritinių sertifikatų ir notarizavimo medžiagų, būtinų norint patikrinti OpenAI programų, tokių kaip ChatGPT Desktop, [Codex App](/lt/openai-gpt-5-2-codex), Codex CLI ir Atlas, autentiškumą.

Nors pirminė analizė rodo, kad pasirašymo sertifikatas greičiausiai nebuvo sėkmingai nutekintas kenkėjiškos programos dėl įvykių laiko ir sekos, OpenAI traktuoja sertifikatą kaip pažeistą dėl pernelyg didelio atsargumo. Šis proaktyvus požiūris reiškia, kad visi macOS vartotojai dabar privalo atnaujinti savo OpenAI programas į naujausias versijas. Ši priemonė yra labai svarbi siekiant užkirsti kelią bet kokiems neteisėtų subjektų bandymams platinti netikras programas, kurios gali atrodyti kaip teisėta OpenAI programinė įranga, taip išlaikant jų ekosistemos vientisumą ir saugumą.

## Paveiktos macOS programos ir reikalingi atnaujinimai

Saugumo incidentas konkrečiai nukreiptas į OpenAI macOS programas, todėl vartotojams būtina nedelsiant atnaujinti. Axios kūrėjo įrankio pažeidimas pirmiausia paveikė šių darbastalio programų pasirašymo procesą. „ChatGPT Desktop“, „Codex App“, „Codex CLI“ ir „Atlas“ vartotojams macOS sistemoje primygtinai rekomenduojama atnaujinti savo programinę įrangą į naujausias versijas. Tai užtikrina, kad jų programos būtų pasirašytos nauju, saugiu OpenAI sertifikatu, o tai yra gyvybiškai svarbu norint išlaikyti pasitikėjimą ir saugumą, tikimasi iš oficialios programinės įrangos.

Nuo 2026 m. gegužės 8 d. senesnės šių macOS programų versijos nebegalės gauti atnaujinimų ar palaikymo ir gali tapti nefunkcionalios. Šis terminas nustatytas, kad vartotojams būtų suteiktas pakankamas laikas pereiti prie naujų, saugiai pasirašytų versijų. Žemiau pateikiama lentelė, kurioje išsamiai aprašomos paveiktos programos ir minimalios reikiamos versijos, kuriose yra atnaujintas sertifikatas:

| Programa         | Minimali atnaujinta versija |
| :----------------- | :---------------------- |
| ChatGPT Desktop    | 1.2026.051              |
| Codex App          | 26.406.40811            |
| Codex CLI          | 0.119.0                 |
| Atlas              | 1.2026.84.2             |

Vartotojai turėtų atsisiųsti atnaujinimus tik per pranešimus programose arba per oficialias atsisiuntimo nuorodas, pateiktas tiesiogiai OpenAI. Venkite bet kokių nuorodų, gautų nepageidaujamais el. laiškais, žinutėmis ar trečiųjų šalių svetainėse, nes tai gali būti kenkėjiški bandymai išnaudoti situaciją.

## Tyrimas, atstatymas ir tiekimo grandinės saugumas

OpenAI atsakas apėmė išsamų tyrimą, į kurį buvo įtraukta trečiosios šalies skaitmeninės kriminalistikos ir incidentų reagavimo įmonė. Pagrindinės atkūrimo pastangos apėmė macOS kodo pasirašymo sertifikato atnaujinimą, visų paveiktų macOS produktų naujų versijų išleidimą su šiuo nauju sertifikatu ir bendradarbiavimą su Apple, siekiant užkirsti kelią bet kokiai programinei įrangai, pasirašytai ankstesniu sertifikatu, būti naujai notarizuotai. Bendrovė taip pat kruopščiai peržiūrėjo visus notarizavimus, atliktus su ankstesniu sertifikatu, patvirtindama, kad neįvyko joks netikėtas programinės įrangos notarizavimas, ir patvirtino, kad išleista programinė įranga liko be neleistinų pakeitimų.

Šio incidento pagrindinė priežastis buvo nustatyta kaip neteisinga konfigūracija GitHub Actions darbo eigoje, ypač kintamosios žymos naudojimas priklausomybei, o ne prisegtas, konkretus įrašo maišos kodas, ir nekonfigūruotas `minimumReleaseAge` naujiems paketams. Šis [GitHub Actions](/lt/github-agentic-workflows) tiekimo grandinės pažeidžiamumas leido įvykdyti kenkėjišką Axios versiją. OpenAI nuo to laiko išsprendė šią neteisingą konfigūraciją, sustiprindama savo CI/CD konvejerio saugumą nuo panašių tiekimo grandinės atakų. Šis incidentas yra kritiškas priminimas visiems kūrėjams įdiegti tvirtą tiekimo grandinės saugumo praktiką, įskaitant kruopštų priklausomybių valdymą ir darbo eigos konfigūraciją.

## Vartotojų pasitikėjimo ir duomenų apsaugos užtikrinimas

Pagrindinis OpenAI rūpestis viso šio incidento metu buvo vartotojų informacijos saugumas ir privatumas. Greitai atskleisdami problemą ir imdamiesi išsamių priemonių, jie siekia sustiprinti vartotojų pasitikėjimą. Bendrovės įsipareigojimas skaidrumui akivaizdus jos išsamiame viešame pareiškime ir išsamios DUK skilties pateikime, siekiant tiesiogiai spręsti vartotojų problemas. Jie patvirtino, kad jokie vartotojo slaptažodžiai ar OpenAI API raktai nebuvo paveikti, o incidentas buvo izoliuotas tik macOS programų pasirašymo procesui.

Etapinis sertifikato atšaukimo metodas, su 30 dienų laikotarpiu iki 2026 m. gegužės 8 d., taip pat demonstruoja į vartotoją orientuotą požiūrį. Šis pereinamasis laikotarpis leidžia vartotojams atnaujinti savo programas be tiesioginio sutrikimo, užtikrinant paslaugos tęstinumą, laipsniškai atsisakant potencialiai pažeisto sertifikato. OpenAI ir toliau stebi bet kokius piktnaudžiavimo rodiklius ir įsipareigojo pagreitinti atšaukimo terminus, jei bus aptikta kenkėjiška veikla.

## Pagrindiniai patarimai OpenAI macOS vartotojams

Visiems OpenAI macOS programų naudotojams svarbiausias veiksmas yra nedelsiant atnaujinti programinę įrangą. Tai padarę, užtikrinsite, kad jūsų programos būtų pasirašytos nauju, saugiu sertifikatu, apsaugosite save nuo galimų apsimetinėjimo atakų ir užtikrinsite nuolatinį funkcionalumą po 2026 m. gegužės 8 d. Visada gaukite atnaujinimus tiesiogiai iš oficialių OpenAI kanalų – per pranešimus programose arba jų oficialioje svetainėje. Venkite trečiųjų šalių šaltinių ar įtartinų nuorodų. Nors incidentas kėlė teorinę riziką macOS programų autentiškumui, greitas ir išsamus OpenAI atsakas veiksmingai sustabdė galimą poveikį, leidžiant vartotojams toliau pasitikint naudotis jų inovatyviais AI įrankiais.

Originalus šaltinis

https://openai.com/index/axios-developer-tool-compromise/

Dažniausiai užduodami klausimai

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Būkite informuoti

Gaukite naujausias AI naujienas el. paštu.

Dalintis