OpenAI公司近日发布紧急公告,针对旗下多款macOS应用存在的安全风险发出更新提醒。此次事件源于第三方开发工具Axios的npm包被植入恶意代码,导致部分应用签名流程受到污染。公司敦促使用ChatGPT、Codex、Atlas及Codex CLI四款应用的Mac用户立即进行版本升级。
技术溯源显示,攻击者通过篡改axios@1.14.1和axios@0.30.4两个npm版本,植入可远程控制的恶意代码。该漏洞通过OpenAI的GitHub Actions工作流渗透,由于macOS应用签名流程存在配置缺陷,系统自动下载并执行了受污染的Axios版本。经查证,恶意代码最早可追溯至2026年3月31日的应用构建过程。
安全团队经过全面排查后确认,尚未发现用户数据泄露或系统被篡改的证据。为防范潜在风险,OpenAI已启动三项安全措施:立即撤销受影响的安全证书并轮换新证书;与苹果公司协同阻止旧证书的新公证请求;强制要求所有应用更新至使用新证书签名的版本。公司特别强调,5月8日起macOS系统将自动拦截旧版应用运行。
此次涉及的应用更新包含关键安全补丁,未及时升级的用户将面临功能限制。OpenAI在官方公告页面开设了专用下载通道,提供四款应用的最新安装包。技术人员建议用户通过系统设置检查应用版本,确保ChatGPT等工具升级至最新构建版本,以维持正常功能使用。
苹果公司同步加强了应用审核机制,对涉及代码签名的公证请求实施更严格的验证流程。安全专家提醒开发者,需定期检查第三方依赖库的更新日志,建议采用代码签名证书的多级管理机制,避免因单个组件漏洞导致整个应用生态受损。此次事件再次凸显供应链安全在软件开发中的重要性。
