📢 转载信息
原文链接:https://openai.com/index/our-response-to-the-tanstack-npm-supply-chain-attack
原文作者:OpenAI
我们近期发现了一个涉及常见开源库 TanStack npm 的安全问题,该问题属于称为“Mini Shai-Hulud”的大规模攻击的一部分。无任何证据表明,OpenAI 的用户数据遭到访问、生产系统或知识产权遭到入侵,亦或是我们的软件被篡改。
我们已采取果断措施来保护我们的用户数据、系统及知识产权。作为应对措施的一部分,我们正在采取行动来保护用于验证 macOS 应用程序为 OpenAI 官方正版应用程序的认证流程。
请在 2026 年 6 月 12 日前更新你的 macOS 应用程序
我们正在更新我们的安全证书,这需要所有 macOS 用户将其 OpenAI 应用程序更新至最新版本。此举有助于防范任何人企图分发伪装成来自 OpenAI 的欺诈性应用的风险。你可以通过应用内更新,或通过下方的官方链接进行安全更新:
事件经过及我们采取的行动
协调世界时 (UTC) 2026 年 5 月 11 日,被广泛使用的开源库 TanStack 遭到入侵,这属于称为“Mini Shai-Hulud”的大规模软件供应链攻击的一部分。在我们公司内部环境中,有两台员工设备受到了此次攻击的影响。发现恶意活动后,我们迅速展开行动进行调查与遏制。
在受影响的两名员工有权访问的有限内部源代码仓库子集中,我们观察到了与该恶意软件公开描述的行为相一致的活动,包括未授权访问以及以窃取凭证为目的的数据导出活动。我们已证实,仅有极少数凭证资料从这些代码仓库中被窃取,其他任何信息或代码均未受到影响。
我们立即隔离了受影响的系统和身份、撤销了用户会话、轮换了受影响仓库中的所有凭证、临时限制了代码部署工作流。我们尚未发现客户数据或知识产权受到影响的证据,且分析显示受影响凭证未被滥用。
受影响的源代码仓库中包含了我们各平台产品的签名证书,出于预防目的,我们正在轮换代码签名证书。Windows 和 iOS 应用的用户无需采取任何行动,但 macOS 用户必须更新应用程序。
常见问题解答
OpenAI 的产品或用户数据是否遭到入侵?
否。无任何证据表明 OpenAI 的产品或用户数据遭到入侵或外泄。
我需要修改密码吗?
不需要。客户/用户的密码以及 API 密钥未受到影响。
2026 年 6 月 12 日之后会发生什么?
自 2026 年 6 月 12 日起,我们旧版本的 macOS 桌面应用程序将不再获得更新或支持,且可能无法继续运行。请务必在此之前通过官方渠道完成更新。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区