近日,OpenAI 发布声明称,其旗下产品遭遇了一起供应链安全事件,影响范围涉及开发者群体中广泛使用的第三方库 Axios。据披露,攻击者通过劫持 Axios 在 npm 平台上的托管账户,在代码中植入恶意程序,并篡改账户注册信息以阻止原所有者恢复控制权。这一系列操作的目标直指用户设备控制权,引发业界对软件供应链安全的高度关注。
尽管 OpenAI 明确表示未发现用户数据泄露、内部系统入侵或代码篡改的证据,但仍采取紧急措施加强安全防护。公司已更新 macOS 应用的安全认证机制,并敦促用户尽快通过应用内提示或官方渠道升级至最新版本。此次升级被视为防范潜在风险的关键步骤,操作流程设计得较为简便,以降低用户更新门槛。
追溯攻击源头,事件始于上周 Axios 账户遭黑客劫持。攻击者不仅植入恶意代码,还通过修改账户关联邮箱的方式切断原所有者恢复路径,形成完整的攻击链条。这种手法凸显了供应链攻击的隐蔽性特征——开发者在引用看似可信的库时,可能无意中成为恶意代码传播的媒介,而终端用户对此往往毫无察觉。
对于使用 macOS 版 ChatGPT 或其他 OpenAI 应用的用户,当前最紧迫的任务是验证应用版本。通过检查更新或查看应用设置中的版本信息,可确认是否已运行最新安全版本。这一简单操作能有效阻断攻击者利用旧版本漏洞实施进一步侵害的可能性。
此次事件再次为软件行业敲响警钟。随着开发过程中对第三方库的依赖程度加深,单个组件的安全漏洞可能通过供应链传导至大量下游应用。专家建议开发者应建立更严格的依赖库审核机制,同时普通用户需保持软件更新习惯,共同构建多层次的安全防护体系。
