4月11日,OpenAI公司针对第三方开发工具Axios的软件安全事件发布公告,敦促苹果Mac用户更新ChatGPT、Codex等4款应用。事件起因是Axios的两个npm版本axios@1.14.1、axios@0.30.4被恶意植入远程控制代码。OpenAI表示,攻击可追溯至2026年3月31日,其用于macOS应用签名流程的GitHubActions工作流因配置缺陷,下载并执行了恶意版本的Axios(版本1.14.1)。技术分析后,OpenAI指出目前无证据表明黑客利用此次事件访问用户数据或系统,也未发现篡改软件行为。
出于谨慎,OpenAI正在更新安全认证机制,将涉事证书视为已泄露处理,并已启动撤销和轮换证书。为防止攻击者利用泄露证书分发伪造应用,OpenAI已发布使用新证书签名的软件版本,并与苹果合作阻止旧证书的新公证请求。macOS安全机制将于5月8日开始拦截旧版应用的下载与启动。受影响的应用包括ChatGPT、Codex、Atlas及CodexCLI,OpenAI已在官方公告页面提供这些应用的最新版本下载链接,用户需在规定时限前完成更新,以免应用功能受限。
