OpenAI 对 Axios 开发者工具泄露的回应

发布: (2026年4月23日 GMT+8 08:45)
7 分钟阅读

Source: Hacker News

安全事件更新 – macOS 应用签名

我们最近发现一起涉及第三方开发者工具 Axios 的安全问题,该工具是一次广泛报道的行业更大事件的一部分。出于极大的谨慎,我们正在采取措施保护我们对 macOS 应用进行合法 OpenAI 应用认证的流程。

我们未发现任何证据表明 OpenAI 用户数据被访问、我们的系统或知识产权受到破坏,或我们的软件被篡改。

发生了什么?

  • 日期: 2026年3月31日 (UTC)
  • 问题: Axios(一个广泛使用的第三方库)在一次更大范围的软件供应链攻击中被攻破。
  • 影响: 在 macOS 应用签名过程中使用的 GitHub Actions 工作流下载并执行了恶意版本的 Axios(v1.14.1)。
  • 范围: 该工作流能够访问用于签署 macOS 应用的证书和公证材料,包括 ChatGPT Desktop、Codex、Codex‑CLI 和 Atlas

我们的分析得出结论,由于负载执行的时机、证书注入、作业顺序以及其他缓解因素,签名证书 可能未被外泄。然而,我们仍将该证书视为已受 compromise,并将进行吊销和轮换。

我们正在做的工作

  • 与第三方数字取证和事件响应公司合作。
  • 轮换我们的 macOS 代码签名证书。
  • 使用新证书发布所有相关 macOS 产品的新构建。
  • 与 Apple 合作,确保使用旧证书签名的软件无法再次进行公证。
  • 审查使用旧证书完成的所有公证,并确认没有意外的软件被公证。
  • 验证我们发布的软件没有未经授权的修改。

目前,我们未发现任何妥协证据或对现有软件安装的风险

您需要做的事

将您的 macOS 应用程序更新至最新版本(通过应用内更新或以下官方链接)。这可确保您运行的软体已使用新的受信任证书签署。

  • ChatGPT Desktop – 更新至 ≥ 1.2026.051
  • Codex App – 更新至 ≥ 26.406.40811
  • Codex CLI – 更新至 ≥ 0.119.0
  • Atlas – 更新至 ≥ 1.2026.84.2

自 2026 年 5 月 8 日起,旧版本将不再接收更新或支持,且可能停止运行。这些是使用更新后证书签署的最早版本(如上所列)。

常见问题

OpenAI 产品或用户数据是否受到泄露?

否。 没有产品或用户数据泄露的证据。

您是否看到以 OpenAI 名义签名的恶意软件?

否。 没有证据表明可能泄露的公证和代码签名材料被滥用。

我需要更改密码吗?

否。 密码和 OpenAI API 密钥未受影响。

这会影响 iOS、Android、Linux 或 Windows 吗?

否。 仅 macOS 应用受影响;网页版本不受影响。

为什么要求我更新 Mac 应用?

公开的 GitHub Actions 工作流涉及 macOS 应用的签名。轮换公证和代码签名材料可保护用户。更新可确保您运行使用新证书签名的版本。

我从哪里下载更新后的 macOS 应用?

  • 使用 应用内更新 或从官方 OpenAI 网页下载。
  • 不要 从电子邮件链接、信息、广告或第三方下载站点安装应用。请警惕通过任何渠道发送的意外 “OpenAI”、 “ChatGPT” 或 “Codex” 安装程序。

2026 年 5 月 8 日之后会怎样?

旧版本(如上所列)将不再收到更新或支持,可能停止运行。使用先前证书签名的应用的全新下载和启动将被 macOS 安全防护阻止。

根本原因

  • 该操作使用了 floating tag 而不是特定的提交哈希。
  • 未为新包配置 minimumReleaseAge

立即吊销证书?

我们已经采取措施,阻止使用受影响的公证材料对 macOS 应用进行进一步的公证。这意味着,任何冒充 OpenAI 应用并使用受影响证书的欺诈性应用将 缺少公证,因此除非用户明确绕过这些保护,否则会被 macOS 的安全防护默认阻止。

由于使用先前证书的新公证已被阻止,并且吊销可能导致 macOS 阻止使用先前证书签名的应用的全新下载和首次启动,我们为用户提供 30 天的更新窗口,以将中断降至最低。此窗口将:

  • 有助于降低用户风险。
  • 让受影响的客户端通过内置更新机制进行更新。
  • 确保所有安装都得到适当的修复。

我们正与合作伙伴合作,监控签名证书被滥用的任何迹象,并将在此窗口期间发现恶意活动时 加速吊销时间表

0 浏览
Back to Blog

相关文章

阅读更多 »

Jiga (YC W21) 招聘

制造业值得更好的对待。我们正在构建工具,帮助 NASA、Tesla、Google 以及数百个顶尖团队将未来变为现实。你能帮助我们实现它吗?

我们的新闻编辑部 AI 政策

当我们将某个陈述、立场或引语归于特定来源时,这些材料来源于对访谈、文字记录、已发表的统计数据等的直接参与。