【编者按】在数字化浪潮席卷全球的今天,软件供应链安全已成为科技行业的生命线。近日,人工智能巨头OpenAI披露了一起涉及第三方开发工具的安全事件,引发业界广泛关注。这起事件不仅揭示了现代软件开发中潜在的脆弱环节,更警示我们:在技术快速迭代的同时,安全防线必须同步加固。OpenAI的迅速响应与透明通报,展现了头部科技企业的责任担当,也为整个行业敲响了警钟。以下为事件详细报道,让我们共同关注这场没有硝烟的安全攻防战。
OpenAI周五表示,已发现一起涉及名为Axios的第三方开发工具的安全事件,目前正在采取措施保护其macOS应用程序的认证流程,以确保这些应用是合法的OpenAI官方应用。
ChatGPT的开发商强调,目前没有证据表明用户数据被访问、公司系统或知识产权遭到破坏,亦未发现软件被篡改。
* 该公司宣布正在更新安全认证机制,要求所有macOS用户将OpenAI应用升级至最新版本,以防范不法分子分发伪造应用程序的风险。
* 据OpenAI披露,这款广泛使用的第三方开发库Axios于3月31日遭到入侵,此次事件被认定为与朝鲜有关联的黑客组织发起的软件供应链攻击的一部分。
* 攻击导致OpenAI使用的GitHub Actions工作流下载并执行了Axios的“恶意”版本。该工作流存有用于签署macOS应用程序的证书及公证材料,涉及范围包括ChatGPT桌面版、Codex、Codex-cli及Atlas等多款应用。
* OpenAI通过对事件的深入分析得出结论:工作流中的签名证书很可能未被“恶意”负载成功窃取。
* 官方明确表示,自5月8日起,旧版macOS桌面应用将停止更新和支持,且可能无法正常使用。
* 公司特别说明,用户密码和OpenAI API密钥未受此次第三方安全事件影响,并指出事件根本原因在于GitHub Actions工作流的配置错误,该问题现已修复。
