近日,一场涉及软件供应链的安全事件引发广泛关注。知名人工智能企业OpenAI披露,其依赖的第三方开发库Axios遭遇黑客入侵,导致用户设备面临潜在安全威胁。此次事件源于攻击者成功渗透Axios维护者的账户,并在代码库中植入恶意脚本,该脚本具备跨平台攻击能力,可能影响Windows、macOS和Linux系统的设备。
据技术分析,攻击者利用供应链攻击手段,在2026年3月31日(UTC时间)篡改了Axios的1.14.1版本。OpenAI的macOS应用签名流程中使用的GitHub Actions工作流,在自动构建过程中下载并执行了这一被污染的版本。由于该工作流拥有访问应用签名证书的权限,导致ChatGPT Desktop、Codex、Codex-cli及Atlas等应用的认证材料面临泄露风险。这些证书是验证软件合法性的关键凭证,一旦被恶意利用,攻击者可能伪造合法应用实施进一步攻击。
事件发生后,OpenAI立即启动应急响应机制。技术团队第一时间撤销受影响的证书,并重新签发安全认证材料。同时,公司通过官方渠道发布安全更新,强制推送应用新版本以替换存在隐患的组件。安全专家指出,此次更新不仅修复了被篡改的依赖库,还优化了构建流程的权限管理,从流程层面降低类似风险。
对于普通用户,OpenAI强烈建议立即将相关应用升级至最新版本。公司安全负责人特别提醒,未及时更新的设备可能面临中间人攻击、数据窃取等风险,尤其在公共网络环境下使用旧版本应用需格外谨慎。用户应养成定期检查软件更新的习惯,并开启操作系统的自动更新功能。
此次事件再次凸显软件供应链安全的重要性。行业分析师指出,随着开发流程日益自动化,第三方组件的引入虽然提升了效率,但也扩大了攻击面。企业需要建立更严格的依赖库审计机制,包括代码签名验证、构建环境隔离等措施。OpenAI在声明中承诺,将加强供应链安全审查,并引入多因素认证保护开发账户,防止类似事件再次发生。
