Were OpenAI products or user data compromised?

No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.

Have you seen malware signed as OpenAI?

OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.

Do I need to change my password?

No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.

Does this affect iOS, Android, Linux, or Windows?

No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.

Why are you asking me to update my Mac apps?

OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.

What happens after May 8, 2026?

After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.

Why are you not revoking the certificate immediately?

OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Kompromi Alat Pembangun Axios: OpenAI Bertindak Balas Terhadap Serangan Rantaian Bekalan

Menangani Kompromi Alat Pembangun Axios: Gambaran Keseluruhan

OpenAI baru-baru ini mengumumkan insiden keselamatan yang melibatkan Axios, alat pembangun pihak ketiga yang digunakan secara meluas, yang telah dikompromi sebagai sebahagian daripada serangan rantaian bekalan perisian seluruh industri yang lebih luas. Insiden ini, yang pada mulanya dilaporkan pada 31 Mac 2026, oleh Google Cloud, menonjolkan kerentanan di mana versi berbahaya Axios (versi 1.14.1) telah dilaksanakan secara tidak sengaja. Bagi OpenAI, ini berlaku dalam aliran kerja GitHub Actions tertentu yang digunakan untuk proses penandatanganan aplikasi macOS.

Walaupun potensi pendedahan, siasatan menyeluruh OpenAI mendapati tiada bukti bahawa data pengguna diakses, sistem dalaman atau harta intelek dikompromi, atau mana-mana perisiannya diubah suai. Syarikat itu menekankan komitmennya terhadap ketelusan dan tindakan pantas, segera memulakan tindak balas komprehensif untuk mengurangkan sebarang risiko teori dan memaklumkan pangkalan penggunanya. Pendekatan proaktif ini menekankan kepentingan kritikal keselamatan rantaian bekalan dalam pembangunan perisian moden, terutamanya untuk alat pembangun yang disepadukan secara mendalam ke dalam aliran kerja pengeluaran.

Tindak Balas Proaktif OpenAI dan Langkah Keselamatan yang Dipertingkatkan

Sebagai tindak balas kepada kompromi Axios, OpenAI telah mengambil langkah-langkah tegas untuk melindungi aplikasi macOS mereka dan kepercayaan pengguna. Teras strategi mereka melibatkan putaran dan pembatalan sijil keselamatan yang digunakan untuk menandatangani aplikasi macOS mereka. Aliran kerja GitHub Actions, yang bertanggungjawab untuk proses penandatanganan aplikasi macOS, memuat turun dan melaksanakan versi Axios yang berbahaya secara sementara. Aliran kerja ini mempunyai akses kepada sijil kritikal dan bahan notarization penting untuk mengesahkan keaslian aplikasi OpenAI, seperti ChatGPT Desktop, Aplikasi Codex, Codex CLI, dan Atlas.

Walaupun analisis awal menunjukkan sijil penandatanganan kemungkinan besar tidak berjaya dieksfiltrasi oleh muatan berbahaya disebabkan oleh masa dan urutan peristiwa, OpenAI menganggap sijil itu sebagai dikompromi atas dasar berjaga-jaga. Pendirian proaktif ini bermakna semua pengguna macOS kini dikehendaki mengemas kini aplikasi OpenAI mereka ke versi terkini. Langkah ini penting untuk mencegah sebarang percubaan oleh entiti tidak sah untuk mengedarkan aplikasi palsu yang mungkin kelihatan seperti perisian OpenAI yang sah, dengan itu mengekalkan integriti dan keselamatan ekosistem mereka.

Aplikasi macOS yang Terjejas dan Kemas Kini yang Diperlukan

Insiden keselamatan ini secara khusus menyasarkan aplikasi macOS OpenAI, memerlukan kemas kini segera untuk pengguna. Kompromi alat pembangun Axios terutamanya menjejaskan proses penandatanganan untuk aplikasi desktop ini. Pengguna ChatGPT Desktop, Aplikasi Codex, Codex CLI, dan Atlas pada macOS digesa untuk mengemas kini perisian mereka ke versi terkini. Ini memastikan aplikasi mereka ditandatangani dengan sijil baharu OpenAI yang selamat, yang penting untuk mengekalkan kepercayaan dan keselamatan yang diharapkan daripada perisian rasmi.

Berkuat kuasa 8 Mei 2026, versi lama aplikasi macOS ini tidak akan lagi menerima kemas kini atau sokongan, dan mungkin menjadi tidak berfungsi. Tarikh akhir ini ditetapkan untuk menyediakan tempoh yang mencukupi untuk pengguna beralih ke versi baharu yang ditandatangani dengan selamat. Di bawah adalah jadual yang memperincikan aplikasi yang terjejas dan versi minimum yang diperlukan yang menggabungkan sijil yang dikemas kini:

Aplikasi	Versi Minimum Dikemas Kini
ChatGPT Desktop	1.2026.051
Aplikasi Codex	26.406.40811
Codex CLI	0.119.0
Atlas	1.2026.84.2

Pengguna hanya perlu memuat turun kemas kini melalui pemberitahuan dalam aplikasi atau melalui pautan muat turun rasmi yang disediakan terus oleh OpenAI. Elakkan sebarang pautan yang diterima melalui e-mel yang tidak diminta, mesej, atau laman web pihak ketiga, kerana ini boleh menjadi percubaan jahat untuk mengeksploitasi situasi tersebut.

Siasatan, Pemulihan, dan Keselamatan Rantaian Bekalan

Tindak balas OpenAI termasuk siasatan menyeluruh, melibatkan firma forensik digital dan tindak balas insiden pihak ketiga. Usaha pemulihan utama melibatkan putaran sijil penandatanganan kod macOS, penerbitan binaan baharu semua produk macOS yang terjejas dengan sijil baharu ini, dan kerjasama dengan Apple untuk menghalang sebarang perisian yang ditandatangani dengan sijil sebelumnya daripada dinotarikan semula. Syarikat itu juga dengan tekun menyemak semua notarization yang dibuat dengan sijil sebelumnya, mengesahkan tiada notarization perisian yang tidak dijangka berlaku, dan mengesahkan bahawa perisian yang diterbitkan kekal bebas daripada pengubahsuaian yang tidak dibenarkan.

Punca utama insiden ini dikenal pasti sebagai konfigurasi yang salah dalam aliran kerja GitHub Actions, khususnya penggunaan tag terapung untuk kebergantungan dan bukannya hash komit tertentu yang dipin, dan kekurangan minimumReleaseAge yang dikonfigurasi untuk pakej baharu. Kerentanan dalam rantaian bekalan GitHub Actions ini membolehkan versi Axios yang berbahaya dilaksanakan. OpenAI telah menangani salah konfigurasi ini, memperkukuhkan keselamatan saluran paip CI/CD mereka terhadap serangan rantaian bekalan yang serupa. Insiden ini berfungsi sebagai peringatan kritikal untuk semua pembangun untuk melaksanakan amalan keselamatan rantaian bekalan yang teguh, termasuk pengurusan kebergantungan yang teliti dan konfigurasi aliran kerja.

Memastikan Kepercayaan Pengguna dan Perlindungan Data

Kebimbangan utama OpenAI sepanjang insiden ini adalah keselamatan dan privasi maklumat pengguna. Dengan segera mendedahkan isu tersebut dan mengambil langkah-langkah yang menyeluruh, mereka bertujuan untuk memperkukuh kepercayaan pengguna. Komitmen syarikat terhadap ketelusan terbukti dalam kenyataan awam terperinci mereka dan penyediaan bahagian FAQ yang meluas untuk menangani kebimbangan pengguna secara langsung. Mereka mengesahkan bahawa tiada kata laluan pengguna atau kunci API OpenAI yang terjejas, dan insiden itu terasing kepada proses penandatanganan aplikasi macOS.

Pendekatan berfasa untuk pembatalan sijil, dengan tempoh 30 hari sebelum 8 Mei 2026, juga menunjukkan perspektif yang berpusatkan pengguna. Tempoh tangguh ini membolehkan pengguna mengemas kini aplikasi mereka tanpa gangguan segera, memastikan kesinambungan perkhidmatan sambil secara beransur-ansur menghapuskan sijil yang berpotensi dikompromi. OpenAI terus memantau sebarang petunjuk penyalahgunaan dan telah berjanji untuk mempercepatkan garis masa pembatalan jika aktiviti berbahaya dikesan.

Pengambilan Utama untuk Pengguna macOS OpenAI

Bagi semua pengguna aplikasi macOS OpenAI, tindakan paling kritikal adalah untuk mengemas kini perisian anda dengan segera. Dengan berbuat demikian, anda memastikan aplikasi anda ditandatangani dengan sijil baharu yang selamat, melindungi anda daripada potensi serangan penyamaran dan memastikan kefungsian berterusan selepas 8 Mei 2026. Sentiasa dapatkan kemas kini terus daripada saluran rasmi OpenAI—sama ada melalui gesaan dalam aplikasi atau laman web rasmi mereka. Elakkan sumber pihak ketiga atau pautan yang mencurigakan. Walaupun insiden itu menimbulkan risiko teori terhadap keaslian aplikasi macOS, tindak balas pantas dan menyeluruh OpenAI telah berjaya membendung potensi impak, membolehkan pengguna terus memanfaatkan alat AI inovatif mereka dengan yakin.

Kompromi Alat Pembangun Axios: OpenAI Bertindak Balas Terhadap Serangan Rantaian Bekalan

Kompromi Alat Pembangun Axios: OpenAI Bertindak Balas Terhadap Serangan Rantaian Bekalan

Menangani Kompromi Alat Pembangun Axios: Gambaran Keseluruhan

Tindak Balas Proaktif OpenAI dan Langkah Keselamatan yang Dipertingkatkan

Aplikasi macOS yang Terjejas dan Kemas Kini yang Diperlukan

Siasatan, Pemulihan, dan Keselamatan Rantaian Bekalan

Memastikan Kepercayaan Pengguna dan Perlindungan Data

Pengambilan Utama untuk Pengguna macOS OpenAI

Soalan Lazim

Kekal Dikemas Kini