近日，一場(chǎng)涉及軟件供應(yīng)鏈的安全事件引發(fā)廣泛關(guān)注。知名人工智能企業(yè)OpenAI披露，其依賴的第三方開發(fā)庫Axios遭遇黑客入侵，導(dǎo)致用戶設(shè)備面臨潛在安全威脅。此次事件源于攻擊者成功滲透Axios維護(hù)者的賬戶，并在代碼庫中植入惡意腳本，該腳本具備跨平臺(tái)攻擊能力，可能影響Windows、macOS和Linux系統(tǒng)的設(shè)備。

據(jù)技術(shù)分析，攻擊者利用供應(yīng)鏈攻擊手段，在2026年3月31日（UTC時(shí)間）篡改了Axios的1.14.1版本。OpenAI的macOS應(yīng)用簽名流程中使用的GitHub Actions工作流，在自動(dòng)構(gòu)建過程中下載并執(zhí)行了這一被污染的版本。由于該工作流擁有訪問應(yīng)用簽名證書的權(quán)限，導(dǎo)致ChatGPT Desktop、Codex、Codex-cli及Atlas等應(yīng)用的認(rèn)證材料面臨泄露風(fēng)險(xiǎn)。這些證書是驗(yàn)證軟件合法性的關(guān)鍵憑證，一旦被惡意利用，攻擊者可能偽造合法應(yīng)用實(shí)施進(jìn)一步攻擊。

事件發(fā)生后，OpenAI立即啟動(dòng)應(yīng)急響應(yīng)機(jī)制。技術(shù)團(tuán)隊(duì)第一時(shí)間撤銷受影響的證書，并重新簽發(fā)安全認(rèn)證材料。同時(shí)，公司通過官方渠道發(fā)布安全更新，強(qiáng)制推送應(yīng)用新版本以替換存在隱患的組件。安全專家指出，此次更新不僅修復(fù)了被篡改的依賴庫，還優(yōu)化了構(gòu)建流程的權(quán)限管理，從流程層面降低類似風(fēng)險(xiǎn)。

對(duì)于普通用戶，OpenAI強(qiáng)烈建議立即將相關(guān)應(yīng)用升級(jí)至最新版本。公司安全負(fù)責(zé)人特別提醒，未及時(shí)更新的設(shè)備可能面臨中間人攻擊、數(shù)據(jù)竊取等風(fēng)險(xiǎn)，尤其在公共網(wǎng)絡(luò)環(huán)境下使用舊版本應(yīng)用需格外謹(jǐn)慎。用戶應(yīng)養(yǎng)成定期檢查軟件更新的習(xí)慣，并開啟操作系統(tǒng)的自動(dòng)更新功能。

此次事件再次凸顯軟件供應(yīng)鏈安全的重要性。行業(yè)分析師指出，隨著開發(fā)流程日益自動(dòng)化，第三方組件的引入雖然提升了效率，但也擴(kuò)大了攻擊面。企業(yè)需要建立更嚴(yán)格的依賴庫審計(jì)機(jī)制，包括代碼簽名驗(yàn)證、構(gòu)建環(huán)境隔離等措施。OpenAI在聲明中承諾，將加強(qiáng)供應(yīng)鏈安全審查，并引入多因素認(rèn)證保護(hù)開發(fā)賬戶，防止類似事件再次發(fā)生。