OpenAI 近日发布安全声明,承认旗下产品受到了一场供应链攻击的波及,涉及的正是开发者圈子里广泛使用的第三方库——Axios。
好消息是,OpenAI 表示目前没有发现任何用户数据被窃取、内部系统遭到入侵或软件代码被篡改的迹象。但即便如此,他们还是选择主动出击,更新了 macOS 应用的安全认证,并明确要求用户尽快将应用升级至最新版本,以堵上潜在的安全漏洞。升级方式很简单,通过应用内提示或官方渠道操作即可。
事情的源头要追溯到上周。Axios 在 npm 平台上的托管账户遭到黑客劫持,攻击者悄悄在代码中植入了恶意程序,同时篡改了开发者账户的注册邮箱,以此切断原始所有者的找回途径。整个攻击链条的最终目标,是获取受害者设备的控制权。
这类供应链攻击之所以危险,正在于它的隐蔽性——开发者引用的是自己信任的库,却浑然不知其中已被动手脚,而下游用户更是毫无防备。
对于 macOS 上的 ChatGPT 或其他 OpenAI 应用用户,现在最该做的一件事很简单:打开应用,确认你用的是最新版本。
