OpenAI公司近日發布緊急公告,針對旗下多款macOS應用存在的安全風險發出更新提醒。此次事件源于第三方開發工具Axios的npm包被植入惡意代碼,導致部分應用簽名流程受到污染。公司敦促使用ChatGPT、Codex、Atlas及Codex CLI四款應用的Mac用戶立即進行版本升級。
技術溯源顯示,攻擊者通過篡改axios@1.14.1和axios@0.30.4兩個npm版本,植入可遠程控制的惡意代碼。該漏洞通過OpenAI的GitHub Actions工作流滲透,由于macOS應用簽名流程存在配置缺陷,系統自動下載并執行了受污染的Axios版本。經查證,惡意代碼最早可追溯至2026年3月31日的應用構建過程。
安全團隊經過全面排查后確認,尚未發現用戶數據泄露或系統被篡改的證據。為防范潛在風險,OpenAI已啟動三項安全措施:立即撤銷受影響的安全證書并輪換新證書;與蘋果公司協同阻止舊證書的新公證請求;強制要求所有應用更新至使用新證書簽名的版本。公司特別強調,5月8日起macOS系統將自動攔截舊版應用運行。
此次涉及的應用更新包含關鍵安全補丁,未及時升級的用戶將面臨功能限制。OpenAI在官方公告頁面開設了專用下載通道,提供四款應用的最新安裝包。技術人員建議用戶通過系統設置檢查應用版本,確保ChatGPT等工具升級至最新構建版本,以維持正常功能使用。
蘋果公司同步加強了應用審核機制,對涉及代碼簽名的公證請求實施更嚴格的驗證流程。安全專家提醒開發者,需定期檢查第三方依賴庫的更新日志,建議采用代碼簽名證書的多級管理機制,避免因單個組件漏洞導致整個應用生態受損。此次事件再次凸顯供應鏈安全在軟件開發中的重要性。
