Code Velocity
AI drošība

Axios izstrādātāju rīka kompromitācija: OpenAI reaģē uz piegādes ķēdes uzbrukumu

·11 min lasīšana·OpenAI·Sākotnējais avots
Dalīties
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
OpenAI atbilde uz Axios izstrādātāju rīka kompromitāciju, izceļot macOS lietotņu drošības atjauninājumus.

Axios izstrādātāju rīka kompromitācija: OpenAI reaģē uz piegādes ķēdes uzbrukumu

Axios izstrādātāju rīka kompromitācijas risināšana: Pārskats

OpenAI nesen paziņoja par drošības incidentu, kas saistīts ar Axios – plaši izmantotu trešās puses izstrādātāju rīku, kas tika kompromitēts plašākas nozares mēroga programmatūras piegādes ķēdes uzbrukuma ietvaros. Šis incidents, ko sākotnēji 2026. gada 31. martā ziņoja Google Cloud, izcēla ievainojamību, kuras dēļ nejauši tika izpildīta ļaunprātīga Axios versija (versija 1.14.1). OpenAI gadījumā tas notika konkrētā GitHub Actions darbplūsmā, ko izmantoja macOS lietojumprogrammu parakstīšanas procesam.

Neskatoties uz potenciālo risku, OpenAI rūpīgā izmeklēšana nav atradusi nekādus pierādījumus, ka būtu piekļūts lietotāju datiem, kompromitētas iekšējās sistēmas vai intelektuālais īpašums, vai ka būtu mainīta kāda no tā programmatūrām. Uzņēmums uzsvēra savu apņemšanos nodrošināt caurskatāmību un ātru rīcību, nekavējoties uzsākot visaptverošu atbildi, lai mazinātu jebkādus teorētiskos riskus un informētu savus lietotājus. Šī proaktīvā pieeja uzsver piegādes ķēdes drošības kritisko nozīmi mūsdienu programmatūras izstrādē, īpaši attiecībā uz izstrādātāju rīkiem, kas ir dziļi integrēti ražošanas darbplūsmās.

OpenAI proaktīvā atbilde un uzlaboti drošības pasākumi

Reaģējot uz Axios kompromitāciju, OpenAI ir veicis izšķirošus pasākumus, lai aizsargātu savas macOS lietojumprogrammas un lietotāju uzticību. Viņu stratēģijas pamatā ir drošības sertifikātu rotācija un atsaukšana, ko izmantoja viņu macOS lietotņu parakstīšanai. GitHub Actions darbplūsma, kas atbildīga par macOS lietotņu parakstīšanas procesu, īslaicīgi lejupielādēja un izpildīja ļaunprātīgo Axios versiju. Šai darbplūsmai bija piekļuve kritiskiem sertifikātu un notariālās apstiprināšanas materiāliem, kas būtiski OpenAI lietojumprogrammu, piemēram, ChatGPT Desktop, Codex App, Codex CLI un Atlas, autentiskuma pārbaudei.

Lai gan sākotnējā analīze liecina, ka parakstīšanas sertifikāts, visticamāk, netika veiksmīgi iznests ar ļaunprātīgo kravu notikumu laika un secības dēļ, OpenAI, pārmērīgas piesardzības dēļ, uzskata sertifikātu par kompromitētu. Šī proaktīvā nostāja nozīmē, ka visiem macOS lietotājiem tagad ir jāatjaunina savas OpenAI lietojumprogrammas uz jaunākajām versijām. Šis pasākums ir ļoti svarīgs, lai novērstu jebkādus neatļautu vienību mēģinājumus izplatīt viltotas lietojumprogrammas, kas varētu izskatīties kā likumīga OpenAI programmatūra, tādējādi saglabājot viņu ekosistēmas integritāti un drošību.

Ietekmētās macOS lietojumprogrammas un nepieciešamie atjauninājumi

Drošības incidents īpaši attiecas uz OpenAI macOS lietojumprogramām, kas prasa tūlītējus atjauninājumus lietotājiem. Axios izstrādātāju rīka kompromitācija galvenokārt ietekmēja šo darbvirsmas lietojumprogrammu parakstīšanas procesu. ChatGPT Desktop, Codex App, Codex CLI un Atlas lietotājiem macOS platformā tiek stingri ieteikts atjaunināt savu programmatūru uz jaunākajām versijām. Tas nodrošina, ka viņu lietojumprogrammas ir parakstītas ar OpenAI jauno, drošo sertifikātu, kas ir būtiski, lai saglabātu uzticību un drošību, kas sagaidāma no oficiālās programmatūras.

Sākot ar 2026. gada 8. maiju, šo macOS lietojumprogrammu vecākas versijas vairs nesaņems atjauninājumus vai atbalstu, un var kļūt nefunkcionālas. Šis termiņš ir noteikts, lai nodrošinātu pietiekamu laika logu lietotājiem pāriet uz jaunajām, droši parakstītajām versijām. Zemāk ir tabula, kurā detalizēti aprakstītas ietekmētās lietojumprogrammas un minimālās nepieciešamās versijas, kas ietver atjaunināto sertifikātu:

LietojumprogrammaMinimālā atjauninātā versija
ChatGPT Desktop1.2026.051
Codex App26.406.40811
Codex CLI0.119.0
Atlas1.2026.84.2

Lietotājiem atjauninājumi jālejupielādē tikai, izmantojot paziņojumus lietotnē vai oficiālās lejupielādes saites, ko tieši nodrošina OpenAI. Izvairieties no saitēm, kas saņemtas no nevēlamiem e-pastiem, ziņojumiem vai trešo pušu vietnēm, jo tie varētu būt ļaunprātīgi mēģinājumi izmantot situāciju.

Izmeklēšana, novēršana un piegādes ķēdes drošība

OpenAI atbilde ietvēra rūpīgu izmeklēšanu, piesaistot trešās puses digitālās tiesu ekspertīzes un incidentu reaģēšanas uzņēmumu. Galvenie novēršanas pasākumi ietvēra macOS koda parakstīšanas sertifikāta rotāciju, visu skarto macOS produktu jaunu versiju publicēšanu ar šo jauno sertifikātu un sadarbību ar Apple, lai novērstu, ka ar iepriekšējo sertifikātu parakstīta programmatūra tiktu no jauna notariāli apstiprināta. Uzņēmums arī rūpīgi pārskatīja visus notariālos apstiprinājumus, kas veikti ar iepriekšējo sertifikātu, apstiprinot, ka nav notikusi nevēlama programmatūras notariāla apstiprināšana, un apstiprināja, ka publicētā programmatūra joprojām ir brīva no neatļautām modifikācijām.

Šī incidenta pamatcēlonis tika identificēts kā nepareiza konfigurācija GitHub Actions darbplūsmā, īpaši peldošas atzīmes izmantošana atkarībai, nevis piesaistīta, specifiska 'commit hash', un konfigurēta minimumReleaseAge trūkums jauniem pakotnēm. Šī ievainojamība GitHub Actions piegādes ķēdē ļāva izpildīt ļaunprātīgo Axios versiju. Kopš tā laika OpenAI ir novērsis šo nepareizo konfigurāciju, pastiprinot savas CI/CD cauruļvada drošību pret līdzīgiem piegādes ķēdes uzbrukumiem. Šis incidents kalpo kā kritisks atgādinājums visiem izstrādātājiem ieviest stabilas piegādes ķēdes drošības prakses, tostarp rūpīgu atkarību pārvaldību un darbplūsmas konfigurāciju.

Lietotāju uzticības un datu aizsardzības nodrošināšana

OpenAI galvenā rūpe šī incidenta laikā ir bijusi lietotāju informācijas drošība un privātums. Savlaicīgi atklājot problēmu un veicot visaptverošus pasākumus, viņi cenšas stiprināt lietotāju uzticību. Uzņēmuma apņemšanās nodrošināt caurskatāmību ir acīmredzama tā detalizētajā publiskajā paziņojumā un plašas BUJ sadaļas nodrošināšanā, lai tieši risinātu lietotāju bažas. Viņi apstiprināja, ka netika ietekmētas nevienas lietotāju paroles vai OpenAI API atslēgas, un incidents aprobežojās ar macOS lietotņu parakstīšanas procesu.

Pakāpeniskā sertifikātu atsaukšanas pieeja, ar 30 dienu logu pirms 2026. gada 8. maija, arī demonstrē uz lietotāju vērstu perspektīvu. Šis pārejas periods ļauj lietotājiem atjaunināt savas lietojumprogrammas bez tūlītējiem pārtraukumiem, nodrošinot pakalpojumu nepārtrauktību, vienlaikus pakāpeniski izbeidzot potenciāli kompromitētā sertifikāta izmantošanu. OpenAI turpina uzraudzīt jebkādus ļaunprātīgas izmantošanas indikatorus un ir apņēmies paātrināt atsaukšanas laiku, ja tiks konstatēta ļaunprātīga darbība.

Galvenie secinājumi OpenAI macOS lietotājiem

Visiem OpenAI macOS lietojumprogrammu lietotājiem viskritiskākā darbība ir nekavējoties atjaunināt savu programmatūru. To darot, jūs nodrošināsiet, ka jūsu lietojumprogrammas ir parakstītas ar jauno, drošo sertifikātu, tādējādi pasargājot jūs no potenciāliem uzdošanās uzbrukumiem un nodrošinot nepārtrauktu funkcionalitāti pēc 2026. gada 8. maija. Vienmēr iegūstiet atjauninājumus tieši no oficiālajiem OpenAI kanāliem – vai nu, izmantojot lietotnes paziņojumus, vai viņu oficiālajā tīmekļa vietnē. Izvairieties no trešo pušu avotiem vai aizdomīgām saitēm. Lai gan incidents radīja teorētisku risku macOS lietojumprogrammu autentiskumam, OpenAI ātrā un visaptverošā atbilde ir efektīvi ierobežojusi potenciālo ietekmi, ļaujot lietotājiem turpināt izmantot savus inovatīvos AI rīkus ar pārliecību.

Sākotnējais avots

https://openai.com/index/axios-developer-tool-compromise/

Bieži uzdotie jautājumi

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Esiet informēti

Saņemiet jaunākās AI ziņas savā e-pastā.

Dalīties