Code Velocity
Segurança de IA

Comprometimento da Ferramenta de Desenvolvedor Axios: OpenAI Responde a Ataque à Cadeia de Suprimentos

·11 min de leitura·OpenAI·Fonte original
Compartilhar
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Resposta da OpenAI ao comprometimento da ferramenta de desenvolvedor Axios, destacando as atualizações de segurança do aplicativo macOS.

title: "Comprometimento da Ferramenta de Desenvolvedor Axios: OpenAI Responde a Ataque à Cadeia de Suprimentos" slug: "axios-developer-tool-compromise" date: "2026-04-11" lang: "pt" source: "https://openai.com/index/axios-developer-tool-compromise/" category: "Segurança de IA" keywords:

  • OpenAI
  • Axios
  • ferramenta de desenvolvedor
  • ataque à cadeia de suprimentos
  • segurança macOS
  • assinatura de código
  • comprometimento de segurança
  • vulnerabilidade de software
  • ChatGPT Desktop
  • Codex App
  • Atlas
  • GitHub Actions meta_description: "OpenAI aborda um incidente de segurança envolvendo uma ferramenta de desenvolvedor Axios comprometida, iniciando a rotação do certificado de aplicativos macOS. Dados do usuário permanecem seguros, solicitando atualizações para segurança aprimorada." image: "/images/articles/axios-developer-tool-compromise.png" image_alt: "Resposta da OpenAI ao comprometimento da ferramenta de desenvolvedor Axios, destacando as atualizações de segurança do aplicativo macOS." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • OpenAI schema_type: "NewsArticle" reading_time: 11 faq:
  • question: "Os produtos da OpenAI ou dados de usuários foram comprometidos?" answer: "Não. A investigação minuciosa da OpenAI sobre o comprometimento da ferramenta de desenvolvedor Axios não encontrou evidências de que quaisquer produtos da OpenAI foram comprometidos ou que dados de usuários foram acessados ou expostos. A empresa confirmou que seus sistemas e propriedade intelectual permaneceram íntegros, e seu software não foi alterado. Este incidente foi principalmente um ataque à cadeia de suprimentos em uma biblioteca de terceiros, e a OpenAI agiu com extrema cautela para proteger seus aplicativos macOS, apesar de não haver impacto direto nas informações do usuário ou nos sistemas centrais. Esta medida proativa garante a integridade contínua de sua plataforma e a privacidade de seus usuários, mesmo diante de riscos teóricos."
  • question: "Vocês viram malware assinado como OpenAI?" answer: "A OpenAI confirmou que, de acordo com sua investigação, não há evidências de que os materiais de autenticação e assinatura de código potencialmente expostos tenham sido mal utilizados para assinar software malicioso que se apresente como aplicativos legítimos da OpenAI. Todos os eventos de autenticação associados aos materiais impactados foram revisados e confirmados como legítimos. Embora o risco de tal uso indevido tenha sido a principal razão para sua resposta proativa, o monitoramento contínuo está em vigor para detectar qualquer atividade não autorizada. Os usuários são incentivados a permanecer vigilantes e baixar aplicativos apenas de fontes oficiais."
  • question: "Preciso trocar minha senha?" answer: "Não, não há necessidade de os usuários trocarem suas senhas ou chaves de API da OpenAI. O incidente de segurança envolvendo o comprometimento da ferramenta de desenvolvedor Axios não impactou as credenciais do usuário ou as chaves de API. Os sistemas internos da OpenAI que contêm tais informações sensíveis não foram violados, e a natureza do comprometimento foi isolada ao processo de assinatura de aplicativos para macOS. Os usuários podem ter certeza de que a segurança de suas contas permanece intacta e nenhuma ação é necessária de sua parte em relação às credenciais."
  • question: "Isso afeta iOS, Android, Linux ou Windows?" answer: "Não, este incidente de segurança afeta especificamente apenas os aplicativos macOS da OpenAI, incluindo ChatGPT Desktop, Codex App, Codex CLI e Atlas. O comprometimento estava ligado a um fluxo de trabalho do GitHub Actions usado exclusivamente para o processo de assinatura de aplicativos macOS. Usuários em plataformas iOS, Android, Linux ou Windows, incluindo aqueles que acessam os serviços da OpenAI via navegadores da web, não são afetados por este incidente específico e não precisam tomar nenhuma ação relacionada a este aviso. A vulnerabilidade era específica da plataforma devido à natureza da exposição do certificado de assinatura."
  • question: "Por que vocês estão me pedindo para atualizar meus aplicativos Mac?" answer: "A OpenAI está solicitando proativamente que os usuários de macOS atualizem seus aplicativos devido a uma exposição identificada em um fluxo de trabalho do GitHub Actions que fazia parte do processo de assinatura de aplicativos macOS. Embora não haja evidências de uso indevido, a OpenAI está girando seus certificados de autenticação e assinatura de código por precaução. A atualização de seus aplicativos Mac garante que eles sejam assinados com o novo certificado seguro, o que verifica que o software realmente se origina da OpenAI e não foi adulterado, protegendo assim contra possíveis tentativas futuras de personificação e garantindo a integridade de seus aplicativos instalados."
  • question: "O que acontece depois de 8 de maio de 2026?" answer: "Após 8 de maio de 2026, versões mais antigas dos aplicativos de desktop macOS da OpenAI — especificamente ChatGPT Desktop (anterior a 1.2026.051), Codex App (anterior a 26.406.40811), Codex CLI (anterior a 0.119.0) e Atlas (anterior a 1.2026.84.2) — não receberão mais atualizações ou suporte oficial. Mais criticamente, essas versões mais antigas podem deixar de funcionar completamente, pois as proteções de segurança do macOS começarão a bloquear downloads e inicializações de aplicativos assinados com o certificado revogado. Os usuários são fortemente aconselhados a atualizar antes desta data para manter a funcionalidade e a segurança completas e evitar interrupções de serviço."
  • question: "Por que vocês não estão revogando o certificado imediatamente?" answer: "A OpenAI optou por uma abordagem faseada para a revogação do certificado, implementando uma janela de 30 dias antes da revogação total em 8 de maio de 2026. Esta decisão foi tomada para minimizar a interrupção para os usuários. Embora novas autenticações com o certificado anterior já tenham sido bloqueadas, a revogação total imediata faria com que o macOS bloqueasse downloads e primeiras inicializações de aplicativos existentes assinados com esse certificado. O período de carência permite que os usuários atualizem seus aplicativos de forma suave por meio de mecanismos integrados, garantindo a continuidade do serviço enquanto ainda mitiga o risco. A OpenAI está monitorando ativamente o uso indevido e está preparada para acelerar a revogação, se necessário."

# Comprometimento da Ferramenta de Desenvolvedor Axios: OpenAI Responde a Ataque à Cadeia de Suprimentos

## Abordando o Comprometimento da Ferramenta de Desenvolvedor Axios: Uma Visão Geral

A OpenAI anunciou recentemente um incidente de segurança envolvendo o Axios, uma ferramenta de desenvolvedor de terceiros amplamente utilizada, que foi comprometida como parte de um ataque mais amplo à cadeia de suprimentos de software em toda a indústria. Este incidente, inicialmente relatado em 31 de março de 2026, pelo Google Cloud, destacou uma vulnerabilidade onde uma versão maliciosa do Axios (versão 1.14.1) foi inadvertidamente executada. Para a OpenAI, isso ocorreu dentro de um fluxo de trabalho específico do GitHub Actions usado para o processo de assinatura de aplicativos macOS.

Apesar da exposição potencial, a investigação minuciosa da OpenAI não encontrou evidências de que dados de usuários foram acessados, sistemas internos ou propriedade intelectual foram comprometidos, ou que qualquer de seu software foi alterado. A empresa enfatizou seu compromisso com a transparência e ação rápida, iniciando imediatamente uma resposta abrangente para mitigar quaisquer riscos teóricos e informar sua base de usuários. Essa abordagem proativa ressalta a importância crítica da segurança da cadeia de suprimentos no desenvolvimento de software moderno, especialmente para ferramentas de desenvolvedor que estão profundamente integradas aos fluxos de trabalho de produção.

## Resposta Proativa da OpenAI e Medidas de Segurança Aprimoradas

Em resposta ao comprometimento do Axios, a OpenAI tomou medidas decisivas para salvaguardar seus aplicativos macOS e a confiança do usuário. O cerne de sua estratégia envolve a rotação e revogação de certificados de segurança usados para assinar seus aplicativos macOS. Um fluxo de trabalho do GitHub Actions, responsável pelo processo de assinatura de aplicativos macOS, baixou e executou temporariamente a versão maliciosa do Axios. Este fluxo de trabalho tinha acesso a materiais críticos de certificado e autenticação essenciais para verificar a autenticidade dos aplicativos da OpenAI, como ChatGPT Desktop, [Codex App](/pt/openai-gpt-5-2-codex), Codex CLI e Atlas.

Embora a análise inicial sugira que o certificado de assinatura provavelmente não foi exfiltrado com sucesso pela carga maliciosa devido ao momento e à sequência dos eventos, a OpenAI está tratando o certificado como comprometido por uma questão de extrema cautela. Esta postura proativa significa que todos os usuários de macOS agora são obrigados a atualizar seus aplicativos OpenAI para as versões mais recentes. Esta medida é crucial para prevenir quaisquer tentativas potenciais de entidades não autorizadas de distribuir aplicativos falsos que possam parecer software legítimo da OpenAI, mantendo assim a integridade e a segurança de seu ecossistema.

## Aplicativos macOS Afetados e Atualizações Necessárias

O incidente de segurança visa especificamente os aplicativos macOS da OpenAI, necessitando de atualizações imediatas para os usuários. O comprometimento da ferramenta de desenvolvedor Axios afetou principalmente o processo de assinatura para esses aplicativos de desktop. Usuários de ChatGPT Desktop, Codex App, Codex CLI e Atlas no macOS são encorajados a atualizar seu software para as versões mais recentes. Isso garante que seus aplicativos sejam assinados com o novo certificado seguro da OpenAI, o que é vital para manter a confiança e a segurança esperadas do software oficial.

A partir de 8 de maio de 2026, versões mais antigas desses aplicativos macOS deixarão de receber atualizações ou suporte e podem se tornar não funcionais. Este prazo é definido para fornecer uma janela suficiente para os usuários fazerem a transição para as novas versões, assinadas de forma segura. Abaixo está uma tabela detalhando os aplicativos afetados e as versões mínimas necessárias que incorporam o certificado atualizado:

| Aplicativo        | Versão Mínima Atualizada |
| :----------------- | :---------------------- |
| ChatGPT Desktop    | 1.2026.051              |
| Codex App          | 26.406.40811            |
| Codex CLI          | 0.119.0                 |
| Atlas              | 1.2026.84.2             |

Os usuários devem baixar atualizações apenas através de notificações no aplicativo ou por meio de links de download oficiais fornecidos diretamente pela OpenAI. Evite quaisquer links recebidos por e-mails não solicitados, mensagens ou sites de terceiros, pois estes podem ser tentativas maliciosas de explorar a situação.

## Investigação, Remediação e Segurança da Cadeia de Suprimentos

A resposta da OpenAI incluiu uma investigação minuciosa, com a contratação de uma empresa de perícia forense digital e resposta a incidentes de terceiros. Os principais esforços de remediação envolveram a rotação do certificado de assinatura de código macOS, a publicação de novas compilações de todos os produtos macOS afetados com este novo certificado e a colaboração com a Apple para evitar que qualquer software assinado com o certificado anterior fosse recém-autenticado. A empresa também revisou diligentemente todas as autenticações feitas com o certificado anterior, confirmando que nenhuma autenticação de software inesperada ocorreu, e validou que o software publicado permaneceu livre de modificações não autorizadas.

A causa raiz deste incidente foi identificada como uma má configuração no fluxo de trabalho do GitHub Actions, especificamente o uso de uma tag flutuante para uma dependência em vez de um hash de commit fixo e específico, e a falta de um `minimumReleaseAge` configurado para novos pacotes. Essa vulnerabilidade na cadeia de suprimentos do [GitHub Actions](/pt/github-agentic-workflows) permitiu que a versão maliciosa do Axios fosse executada. Desde então, a OpenAI corrigiu essa má configuração, reforçando a segurança de seu pipeline CI/CD contra ataques semelhantes à cadeia de suprimentos. Este incidente serve como um lembrete crítico para todos os desenvolvedores implementarem práticas robustas de segurança da cadeia de suprimentos, incluindo gerenciamento cuidadoso de dependências e configuração de fluxo de trabalho.

## Garantindo a Confiança do Usuário e a Proteção de Dados

A principal preocupação da OpenAI durante todo este incidente tem sido a segurança e a privacidade das informações do usuário. Ao divulgar prontamente o problema e tomar medidas exaustivas, eles visam reforçar a confiança do usuário. O compromisso da empresa com a transparência é evidente em sua declaração pública detalhada e na provisão de uma extensa seção de FAQ para abordar diretamente as preocupações dos usuários. Eles confirmaram que nenhuma senha de usuário ou chave de API da OpenAI foi afetada, e o incidente foi isolado ao processo de assinatura de aplicativos macOS.

A abordagem faseada para a revogação do certificado, com uma janela de 30 dias antes de 8 de maio de 2026, também demonstra uma perspectiva centrada no usuário. Este período de carência permite que os usuários atualizem seus aplicativos sem interrupção imediata, garantindo a continuidade do serviço enquanto eliminam gradualmente o certificado potencialmente comprometido. A OpenAI continua a monitorar quaisquer indicadores de uso indevido e prometeu acelerar o cronograma de revogação se atividade maliciosa for detectada.

## Principais Lições para Usuários de macOS da OpenAI

Para todos os usuários dos aplicativos macOS da OpenAI, a ação mais crítica é atualizar seu software imediatamente. Ao fazer isso, você garante que seus aplicativos sejam assinados com o novo certificado seguro, protegendo-o de potenciais ataques de personificação e garantindo a funcionalidade contínua após 8 de maio de 2026. Sempre obtenha atualizações diretamente dos canais oficiais da OpenAI — seja por meio de prompts no aplicativo ou de seu site oficial. Evite fontes de terceiros ou links suspeitos. Embora o incidente representasse um risco teórico para a autenticidade dos aplicativos macOS, a resposta rápida e abrangente da OpenAI conteve efetivamente o impacto potencial, permitindo que os usuários continuem a aproveitar suas ferramentas inovadoras de IA com confiança.

Fonte original

https://openai.com/index/axios-developer-tool-compromise/

Perguntas Frequentes

Were OpenAI products or user data compromised?
No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.
Have you seen malware signed as OpenAI?
OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.
Do I need to change my password?
No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.
Does this affect iOS, Android, Linux, or Windows?
No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.
Why are you asking me to update my Mac apps?
OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.
What happens after May 8, 2026?
After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.
Why are you not revoking the certificate immediately?
OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Fique Atualizado

Receba as últimas novidades de IA no seu e-mail.

Compartilhar