雅加达 - OpenAI透露了一起涉及名为Axios的第三方开发人员工具的安全事件。但他们坚称,没有证据表明用户数据被访问或公司内部系统受到损害。
在官方声明中,OpenAI称这一事件是更广泛的软件供应链攻击的一部分,据称该攻击涉及与朝鲜有关联的演员。该攻击发生在2026年3月31日,并针对Axios库,该库在应用程序开发中得到广泛使用。
“没有证据表明用户数据被访问,我们的系统被入侵,或者我们的软件被修改,”OpenAI在一份声明中表示。
GitHub Actions 的漏洞是问题的根源
OpenAI解释说,这次攻击利用了GitHub Actions工作流程,该工作流程用于下载并运行一个被恶意代码渗透的Axios版本。该工作流程可以访问用于签署OpenAI官方macOS应用程序的证书和公证材料,包括ChatGPT Desktop,Codex,Codex-cli和Atlas。
尽管如此,内部调查的结果得出结论,签名证书很可能没有被恶意有效载荷成功过滤。
公司还证实,OpenAI的用户密码和API密钥在此事件中不受影响。
“事件的主要原因是 GitHub Actions 工作流中的配置错误,我们现在已经修复了它,”声明继续说道。
macOS 用户的强制更新
作为缓解措施,OpenAI现在正在更新其安全认证系统,并要求所有macOS用户将其OpenAI应用程序更新到最新版本。
此举旨在防止可能利用以前的安全漏洞分发虚假应用程序的可能性。
OpenAI 还宣布,从 2026 年 5 月 8 日开始,其旧版本的 macOS 桌面应用程序将不再接受更新或支持,并且可能无法再使用。
这一举措被认为是一种预防措施,以确保所有用户都处于一个安全加强的应用程序生态系统中。
科技行业再次成为供应链安全问题焦点
这起事件再次突显了全球软件供应链的脆弱性,特别是当广泛使用的第三方库成为攻击的切入点时。
尽管OpenAI设法避免了严重的影响,但该案件提醒人们,即使是大型科技公司也无法抵御外部依赖带来的漏洞。
随着软件开发生态系统的复杂性增加,OpenAI所展示的透明度和响应速度对于维护公众信任至关重要。
关注VOI Whatsapp频道
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
