자카르타 - OpenAI는 Axios라는 제3자 개발자 도구와 관련된 보안 사건을 발표했습니다. 그러나 사용자 데이터에 대한 액세스 또는 회사 내부 시스템의 손상에 대한 증거는 없다고 주장했습니다.
오픈AI는 공식 성명에서 이 사건이 북한과 연계된 행위자를 포함시킨 것으로 의심되는 더 넓은 소프트웨어 공급망 공격의 일환이라고 말했습니다. 공격은 2026년 3월 31일 발생했으며 애플리케이션 개발에서 널리 사용되는 Axios 라이브러리를 목표로했습니다.
"사용자 데이터에 액세스하거나 시스템에 침입하거나 소프트웨어를 수정했다는 증거는 없습니다."라고 OpenAI는 말했습니다.
GitHub Actions의 틈새가 문제의 근원이되었습니다
OpenAI는 이 공격이 GitHub Actions 워크플로우를 악용하여 악성 코드가 삽입된 Axios 버전을 다운로드하고 실행하는 데 사용된다고 설명했습니다. 워크플로우는 ChatGPT Desktop, Codex, Codex-cli 및 Atlas를 포함한 OpenAI의 공식 macOS 응용 프로그램에 서명하는 데 사용되는 인증서 및 공증 자료에 액세스할 수 있습니다.
그럼에도 불구하고, 내부 조사 결과 서명 인증서가 악성 페이로드에 의해 성공적으로 엑스플로잇되지 않았을 가능성이 높다고 결론 지었다.
회사는 또한 사용자 암호와 OpenAI API 키가 이 사건에 영향을 받지 않았다고 강조했습니다.
"이 사건의 주요 원인은 GitHub Actions 워크플로우의 구성 오류였으며 이제는 해결했습니다."라고 성명서는 계속했습니다.
macOS 사용자를 위한 필수 업데이트
완화 조치로 OpenAI는 현재 보안 인증 시스템을 업데이트하고 모든 macOS 사용자가 OpenAI 응용 프로그램을 최신 버전으로 업데이트하도록 요구합니다.
이러한 조치는 이전 보안 결함을 악용할 수 있는 가짜 애플리케이션 배포 가능성을 방지하기 위해 취해졌습니다.
OpenAI는 또한 2026년 5월 8일부터 macOS 데스크톱 애플리케이션의 이전 버전은 더 이상 업데이트 또는 지원을 받지 않으며 더 이상 사용할 수 없을 것이라고 발표했습니다.
이러한 조치는 모든 사용자가 보안이 강화된 애플리케이션 환경 내에 있는지 확인하기위한 예방 조치로 간주됩니다.
기술 산업, 공급망 보안에 다시 초점 Industry Technology Back in Focus on Supply Chain Security
이 사건은 특히 사용되는 타사 라이브러리가 공격의 진입점이 될 때 글로벌 소프트웨어 공급망의 취약성을 다시 강조했습니다.
OpenAI가 심각한 영향을 피하는 데 성공했지만, 이 사건은 대기업조차도 외부 의존성에서 발생하는 틈에 면역되지 않는다는 것을 상기시켜줍니다.
소프트웨어 개발 환경의 복잡성이 증가함에 따라 OpenAI가 보여준 투명성과 반응 속도는 대중의 신뢰를 유지하는 데 중요합니다.
VOI 왓츠앱 채널을 따르십시오
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
