最近,OpenAI发布了一则安全通告,内容有些棘手:由于他们依赖的一个第三方开发库Axios遭到黑客入侵,公司不得不紧急更新安全证书,以保护用户数据。根据官方博客的披露,攻击者成功控制了Axios维护者的账户,并在其中植入恶意脚本——这个脚本可能导致Windows、macOS和Linux设备被远程访问。
事情的源头要追溯到2026年3月31日(UTC)。当时,Axios这个被广泛使用的开发库,成了更大规模软件供应链攻击中的一环。在这个过程中,OpenAI用于签名macOS应用的GitHub Actions工作流,下载并执行了一个被恶意篡改的Axios版本(1.14.1)。问题在于,这个工作流拥有访问macOS应用签名证书和认证材料的权限,波及的应用包括ChatGPT Desktop、Codex、Codex-cli和Atlas等。
这类证书的核心作用,是向用户证明软件来自OpenAI这个合法的开发者。为了应对风险,OpenAI的反应相当迅速:不仅发布了更新版本,还更换了相关证书,旨在将用户的潜在风险降到最低。对于用户而言,当下的要务就是尽快更新应用程序,确保自己使用的是安全版本,避免可能的安全隐患。
在声明中,OpenAI再次强调了保护用户信息安全的重要性,并表示会持续监控并加强系统安全,防止类似事件再次发生。同时,他们也提醒用户保持警惕,养成定期检查和更新软件的习惯,这才是守护个人数据安全的关键。
核心要点梳理:
? 黑客攻击导致Axios库被篡改,用户设备可能面临安全风险。
? OpenAI更新证书和发布新版本应用,以降低潜在风险。
⚠️ 用户需尽快更新应用程序,以确保安全使用。
