OpenAI最近发布了一份安全声明，公开确认其产品受到了一次供应链攻击的影响，而攻击的切入点，正是开发者群体中几乎人人都在用的一个第三方库——Axios。

值得庆幸的是，OpenAI在声明中强调，目前并未发现任何用户数据被盗、内部系统被侵入或软件代码被篡改的证据。不过，他们并没有掉以轻心。公司已经主动更新了macOS应用的安全认证，并明确呼吁所有用户尽快将应用升级到最新版本，以彻底消除潜在的风险。升级过程并不复杂，用户只需留意应用内的提示或通过官方渠道完成更新即可。

整起事件的源头发生在上周。攻击者成功劫持了Axios在npm（Node.js包管理器）平台上的官方托管账户。他们不仅悄无声息地在代码库中植入了恶意程序，还篡改了账户的注册邮箱，切断了原维护者恢复控制权的路径。这一系列操作的最终目的，直指获取受害者设备的控制权。

这类供应链攻击的可怕之处，恰恰在于它的“信任”伪装。开发者毫无戒备地使用着自己信赖的公共库，却不知其底层已被污染；而最终用户在使用依赖这些库的软件时，更是完全暴露在风险之下，防不胜防。

所以，对于所有在macOS上使用ChatGPT或其他OpenAI应用的用户来说，眼下最紧要、也最简单的一件事就是：立刻打开你的应用，检查并确保它已经更新到了最新版本。