📢 转载信息
原文链接:https://openai.com/index/axios-developer-tool-compromise
原文作者:OpenAI
我们最近发现了一个涉及第三方开发工具 Axios 的安全问题,该工具也是近期行业内广泛报道的一起安全事件的一部分。出于审慎考虑,我们正在采取措施保护用于认证 macOS 应用合法性的签名流程。我们未发现 OpenAI 用户数据被访问、公司系统或知识产权受损、或软件被篡改的证据。
我们正在更新安全证书,这将要求所有 macOS 用户将其 OpenAI 应用更新至最新版本。此举旨在防止任何人伪造 OpenAI 应用并进行分发的潜在风险。您可以安全地通过应用内更新或以下官方链接进行更新:
信息的安全与隐私始终是我们的首要任务。我们致力于保持透明,并在出现问题时迅速采取行动。
发生了什么以及我们正在做什么
2026 年 3 月 31 日(UTC),广泛使用的第三方开发库 Axios 在一场软件供应链攻击中被入侵。当时,我们 macOS 应用签名过程中使用的 GitHub Actions 工作流下载并执行了恶意版本的 Axios(版本 1.14.1)。该工作流拥有访问 macOS 应用签名证书和公证材料的权限,涉及的应用包括 ChatGPT Desktop、Codex、Codex-cli 和 Atlas。
我们的调查结论是,由于载荷执行时机、工作流序列等因素,用于签名的证书很可能并未被恶意载荷成功窃取。尽管如此,出于极其审慎的考虑,我们仍将该证书视为已泄露,并将对其进行撤销和轮换。
自 2026 年 5 月 8 日起,旧版本的 macOS 桌面应用将不再获得更新或支持,且可能无法正常运行。
调查与修复工作
作为调查和响应的一部分,我们聘请了第三方数字取证和事件响应公司,轮换了 macOS 代码签名证书,发布了所有相关 macOS 产品的新版本,并正在与 Apple 合作,确保此前签名的软件无法被重新公证。我们已验证发布软件未经过未经授权的修改,目前未发现任何现有软件安装受到威胁或存在风险。
常见问题解答 (FAQ)
- OpenAI 产品或用户数据是否受损? 不,我们未发现任何证据表明产品或数据受到损害。
- 是否发现有伪装成 OpenAI 的恶意软件? 不,我们没有证据表明已泄露的材料被滥用。
- 是否需要修改密码? 不,密码和 API 密钥不受影响。
- 这是否影响 iOS、Android、Linux 或 Windows? 不,此事件仅影响 OpenAI 的 macOS 应用。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区