Were OpenAI products or user data compromised?

No. OpenAI's thorough investigation into the Axios developer tool compromise found no evidence that any OpenAI products were compromised or that user data was accessed or exposed. The company confirmed that its systems and intellectual property remained uncompromised, and its software was not altered. This incident was primarily a supply chain attack on a third-party library, and OpenAI acted out of an abundance of caution to protect its macOS applications, despite no direct impact on user information or core systems. This proactive measure ensures the continued integrity of their platform and the privacy of their users, even in the face of theoretical risks.

Have you seen malware signed as OpenAI?

OpenAI has confirmed that, as of their investigation, there is no evidence that the potentially exposed notarization and code signing materials have been misused to sign malicious software appearing as legitimate OpenAI applications. All notarization events associated with the impacted materials were reviewed and confirmed to be legitimate. While the risk of such misuse was the primary reason for their proactive response, continuous monitoring is in place to detect any unauthorized activity. Users are encouraged to remain vigilant and only download applications from official sources.

Do I need to change my password?

No, there is no need for users to change their passwords or OpenAI API keys. The security incident involving the Axios developer tool compromise did not impact user credentials or API keys. OpenAI's internal systems holding such sensitive information were not breached, and the nature of the compromise was isolated to the app-signing process for macOS applications. Users can be confident that their account security remains intact and no action is required on their part regarding credentials.

Does this affect iOS, Android, Linux, or Windows?

No, this security incident specifically affects only OpenAI's macOS applications, including ChatGPT Desktop, Codex App, Codex CLI, and Atlas. The compromise was tied to a GitHub Actions workflow used exclusively for the macOS app-signing process. Users on iOS, Android, Linux, or Windows platforms, including those accessing OpenAI services via web browsers, are not affected by this particular incident and do not need to take any action related to this advisory. The vulnerability was platform-specific due to the nature of the signing certificate's exposure.

Why are you asking me to update my Mac apps?

OpenAI is proactively requesting macOS users to update their applications due to an identified exposure within a GitHub Actions workflow that was part of the macOS app-signing process. Although there's no evidence of misuse, OpenAI is rotating its notarization and code signing certificates out of caution. Updating your Mac apps ensures they are signed with the new, secure certificate, which verifies that the software genuinely originates from OpenAI and has not been tampered with, thereby safeguarding against potential future impersonation attempts and ensuring the integrity of your installed applications.

What happens after May 8, 2026?

After May 8, 2026, older versions of OpenAI's macOS desktop applications—specifically ChatGPT Desktop (earlier than 1.2026.051), Codex App (earlier than 26.406.40811), Codex CLI (earlier than 0.119.0), and Atlas (earlier than 1.2026.84.2)—will no longer receive updates or official support. More critically, these older versions may cease to function entirely, as macOS security protections will begin to block downloads and launches of apps signed with the revoked certificate. Users are strongly advised to update before this date to maintain full functionality and security and avoid any service interruptions.

Why are you not revoking the certificate immediately?

OpenAI has chosen a phased approach to certificate revocation, implementing a 30-day window before full revocation on May 8, 2026. This decision was made to minimize disruption for users. While new notarizations with the previous certificate have already been blocked, immediate full revocation would cause macOS to block downloads and first-time launches of existing apps signed with that certificate. The grace period allows users to update their applications smoothly through built-in mechanisms, ensuring continuity of service while still mitigating risk. OpenAI is actively monitoring for misuse and is prepared to accelerate revocation if necessary.

Kompromitacija alata za programere Axios: OpenAI reaguje na napad na lanac snabdevanja

Reagovanje na kompromitaciju alata za programere Axios: Pregled

OpenAI je nedavno objavio bezbednosni incident koji uključuje Axios, široko korišćeni alat za programere treće strane, koji je kompromitovan kao deo šireg industrijskog napada na lanac snabdevanja softvera. Ovaj incident, prvobitno prijavljen 31. marta 2026. godine od strane Google Cloud-a, naglasio je ranjivost gde je zlonamerna verzija Axiosa (verzija 1.14.1) nenamerno izvršena. Za OpenAI, ovo se dogodilo unutar specifičnog GitHub Actions radnog toka koji se koristi za proces potpisivanja macOS aplikacija.

Uprkos potencijalnoj izloženosti, temeljna istraga OpenAI-ja nije pronašla dokaze da su korisnički podaci bili pristupani, da su interni sistemi ili intelektualna svojina kompromitovani, ili da je bilo koji od njegovih softvera izmenjen. Kompanija je naglasila svoju posvećenost transparentnosti i brzoj akciji, odmah inicirajući sveobuhvatan odgovor kako bi ublažila sve teoretske rizike i informisala svoju korisničku bazu. Ovaj proaktivni pristup naglašava kritičnu važnost bezbednosti lanca snabdevanja u modernom razvoju softvera, posebno za alate za programere koji su duboko integrisani u proizvodne tokove rada.

Proaktivan odgovor OpenAI-ja i poboljšane bezbednosne mere

Kao odgovor na kompromitaciju Axiosa, OpenAI je preduzeo odlučne korake kako bi zaštitio svoje macOS aplikacije i poverenje korisnika. Jezgro njihove strategije uključuje rotaciju i opoziv bezbednosnih sertifikata koji se koriste za potpisivanje njihovih macOS aplikacija. GitHub Actions radni tok, odgovoran za proces potpisivanja macOS aplikacija, privremeno je preuzeo i izvršio zlonamernu verziju Axiosa. Ovaj radni tok je imao pristup kritičnim materijalima za sertifikate i notarizaciju koji su ključni za proveru autentičnosti OpenAI aplikacija, kao što su ChatGPT Desktop, Codex App, Codex CLI i Atlas.

Iako početna analiza sugeriše da sertifikat za potpisivanje verovatno nije uspešno ekstrahovan zlonamernim teretom zbog vremena i redosleda događaja, OpenAI tretira sertifikat kao kompromitovan iz prevelike opreznosti. Ovaj proaktivni stav znači da se od svih korisnika macOS-a sada zahteva da ažuriraju svoje OpenAI aplikacije na najnovije verzije. Ova mera je ključna za sprečavanje bilo kakvih potencijalnih pokušaja neovlašćenih entiteta da distribuiraju lažne aplikacije koje bi mogle izgledati kao legitimni OpenAI softver, čime se održava integritet i bezbednost njihovog ekosistema.

Pogođene macOS aplikacije i potrebna ažuriranja

Bezbednosni incident specifično cilja OpenAI macOS aplikacije, što zahteva hitna ažuriranja za korisnike. Kompromitacija alata za programere Axios prvenstveno je uticala na proces potpisivanja za ove desktop aplikacije. Korisnicima ChatGPT Desktop-a, Codex App-a, Codex CLI-ja i Atlasa na macOS-u preporučuje se da ažuriraju svoj softver na najnovije verzije. Ovo osigurava da su njihove aplikacije potpisane novim, sigurnim sertifikatom OpenAI-ja, što je ključno za održavanje poverenja i bezbednosti koji se očekuju od zvaničnog softvera.

Od 8. maja 2026. godine, starije verzije ovih macOS aplikacija prestaće da primaju ažuriranja ili podršku, i mogu postati nefunkcionalne. Ovaj rok je postavljen da bi se obezbedio dovoljan vremenski okvir za korisnike da pređu na nove, sigurno potpisane verzije. Ispod je tabela sa detaljima pogođenih aplikacija i minimalnim potrebnim verzijama koje uključuju ažurirani sertifikat:

Aplikacija	Minimalna ažurirana verzija
ChatGPT Desktop	1.2026.051
Codex App	26.406.40811
Codex CLI	0.119.0
Atlas	1.2026.84.2

Korisnici bi trebalo da preuzimaju ažuriranja samo putem obaveštenja unutar aplikacije ili putem zvaničnih veza za preuzimanje koje direktno obezbeđuje OpenAI. Izbegavajte sve veze primljene putem neželjenih imejlova, poruka ili veb lokacija trećih strana, jer to mogu biti zlonamerni pokušaji zloupotrebe situacije.

Istraga, sanacija i bezbednost lanca snabdevanja

Odgovor OpenAI-ja uključivao je temeljnu istragu, angažujući treću stranu – firmu za digitalnu forenziku i odgovor na incidente. Ključni napori sanacije uključivali su rotaciju macOS sertifikata za potpisivanje koda, objavljivanje novih verzija svih pogođenih macOS proizvoda sa ovim novim sertifikatom i saradnju sa Apple-om kako bi se sprečilo da bilo koji softver potpisan prethodnim sertifikatom bude ponovo notarizovan. Kompanija je takođe marljivo pregledala sve notarizacije napravljene sa prethodnim sertifikatom, potvrđujući da nije došlo do neočekivane notarizacije softvera, i potvrdila da objavljeni softver ostaje bez neovlašćenih modifikacija.

Osnovni uzrok ovog incidenta identifikovan je kao pogrešna konfiguracija u GitHub Actions radnom toku, posebno korišćenje lebdeće oznake za zavisnost umesto prikačenog, specifičnog heša komita, i nedostatak konfigurisane minimumReleaseAge za nove pakete. Ova ranjivost u lancu snabdevanja GitHub Actions omogućila je izvršavanje zlonamerne verzije Axiosa. OpenAI je od tada rešio ovu pogrešnu konfiguraciju, jačajući bezbednost svog CI/CD pipeline-a protiv sličnih napada na lanac snabdevanja. Ovaj incident služi kao kritičan podsetnik svim programerima da implementiraju robusne prakse bezbednosti lanca snabdevanja, uključujući pažljivo upravljanje zavisnostima i konfiguraciju radnog toka.

Obezbeđivanje poverenja korisnika i zaštite podataka

Primarna briga OpenAI-ja tokom ovog incidenta bila je bezbednost i privatnost korisničkih informacija. Brzim objavljivanjem problema i preduzimanjem iscrpnih mera, oni imaju za cilj da ojačaju poverenje korisnika. Posvećenost kompanije transparentnosti je očigledna u njenoj detaljnoj javnoj izjavi i pružanju opsežnog odeljka sa često postavljanim pitanjima kako bi se direktno rešile zabrinutosti korisnika. Potvrdili su da nijedna korisnička lozinka ili OpenAI API ključevi nisu pogođeni, a incident je bio izolovan na proces potpisivanja macOS aplikacija.

Fazni pristup opozivu sertifikata, sa periodom od 30 dana pre 8. maja 2026. godine, takođe pokazuje korisnički orijentisanu perspektivu. Ovaj grejs period omogućava korisnicima da ažuriraju svoje aplikacije bez neposrednih prekida, obezbeđujući kontinuitet usluge dok se postepeno ukida potencijalno kompromitovani sertifikat. OpenAI nastavlja da prati sve indikatore zloupotrebe i obavezao se da ubrza vremenski okvir opoziva ako se otkrije zlonamerna aktivnost.

Ključne preporuke za korisnike OpenAI macOS-a

Za sve korisnike OpenAI macOS aplikacija, najkritičnija radnja je da odmah ažurirate svoj softver. Na taj način osiguravate da su vaše aplikacije potpisane novim, sigurnim sertifikatom, štiteći vas od potencijalnih napada lažnog predstavljanja i obezbeđujući kontinuiranu funkcionalnost nakon 8. maja 2026. Uvek preuzimajte ažuriranja direktno sa zvaničnih OpenAI kanala—bilo putem obaveštenja unutar aplikacije ili sa njihovog zvaničnog veb-sajta. Izbegavajte izvore trećih strana ili sumnjive veze. Iako je incident predstavljao teoretski rizik za autentičnost macOS aplikacija, brz i sveobuhvatan odgovor OpenAI-ja efikasno je ograničio potencijalni uticaj, omogućavajući korisnicima da nastave da koriste svoje inovativne AI alate sa poverenjem.

Kompromitacija alata za programere Axios: OpenAI reaguje na napad na lanac snabdevanja

Kompromitacija alata za programere Axios: OpenAI reaguje na napad na lanac snabdevanja

Reagovanje na kompromitaciju alata za programere Axios: Pregled

Proaktivan odgovor OpenAI-ja i poboljšane bezbednosne mere

Pogođene macOS aplikacije i potrebna ažuriranja

Istraga, sanacija i bezbednost lanca snabdevanja

Obezbeđivanje poverenja korisnika i zaštite podataka

Ključne preporuke za korisnike OpenAI macOS-a

Često postavljana pitanja

Будите у току