OpenAI 在其产品中发现了外部模块的漏洞——用户数据安全未受到影响

OpenAI 报告发现安全威胁并采取措施消除风险

OpenAI 宣布在其多个应用中使用的第三方组件 Axios 可能存在漏洞。为此，公司不得不采取措施保护 macOS 软件认证流程。

- 未发现被入侵证据

截至目前，OpenAI 尚未找到任何迹象表明攻击者获取了用户数据、破坏系统运行或更改软件。

- 如何修补漏洞

公司更新了安全证书，并强烈建议所有 macOS 应用的用户升级到最新版本。这将有助于消除伪造软件传播的风险。

- 事件概述

在三月初，Axios 库被黑客入侵，恶意变体通过 GitHub Actions 的 CI/CD 流程下载并运行。该恶意版本获得了用于签署 ChatGPT Desktop、Codex、Codex‑cli 和 Atlas 应用的证书访问权限。分析显示，这些证书并未因恶意代码被盗取。

- 旧版问题

OpenAI 为 macOS 发布的桌面应用在 3 月 8 日之前发布的版本将不再获得更新和支持。这可能导致软件失效。

- 密钥安全

公司强调，OpenAI 的密码和 API 密钥仍然受到保护。此次事件的根本原因是 GitHub Actions 配置错误，已被修复。

因此，OpenAI 已完成威胁消除工作，更新证书并建议用户升级到最新 macOS 应用版本。