OpenAI紧急修补安全漏洞,此前Axios遭黑客入侵
OpenAI因Axios漏洞被迫更新安全证书
OpenAI正全力保护用户安全,此前黑客侵入了其多个应用使用的关键第三方软件组件。本周公司宣布,在针对流行开发库Axios的复杂供应链攻击后,正在更换安全证书。
黑客攻击过程
这场安全噩梦始于2026年3月31日,攻击者获取了Axios维护者账户的访问权限。他们成功将恶意代码植入该库的1.14.1版本——OpenAI通过GitHub Actions工作流使用的版本。这使得黑客可能获得运行OpenAI macOS应用系统的后门权限。
"想象有人将假身份证混入制造你家钥匙的工厂,"网络安全分析师Mark Chen解释道,"本质上这就是发生的事情。攻击者入侵了众多开发者依赖的可信来源。"
风险范围
存在漏洞的工作流可访问以下敏感签名材料:
- ChatGPT桌面版
- Codex
- Codex-cli
- Atlas
这些数字证书如同虚拟批准印章,确保软件真正来自OpenAI而非冒名顶替者。一旦这些证书被攻破,恶意分子分发OpenAI应用的伪造版本将成为现实风险。
OpenAI的应对措施
发现漏洞后数小时内,OpenAI安全团队迅速采取行动:
- 立即撤销受影响的证书
- 发布所有受影响应用的更新版本
- 对第三方依赖项实施额外验证检查
"得益于我们的监控系统,我们及早发现了问题,"OpenAI发言人告诉记者,"虽然目前没有发现实际恶意使用的证据,但我们不会拿用户安全冒险。"
用户需采取的行动
如果您使用任何OpenAI桌面应用,安全专家建议:
- 立即更新至最新版本
- 确认应用由OpenAI正确签名
- 警惕可疑行为
"这不仅关乎OpenAI,"Chen警告道,"这是对我们软件供应链脆弱性的警醒。一个被入侵的库可能波及数十个主流应用。"
OpenAI承诺将加强安全措施,包括更严格的第三方组件审查和额外的代码验证层级。
关键要点
- 供应链攻击:黑客入侵了广泛使用的开发库Axios
- 潜在风险:可能导致OpenAI应用遭未授权访问
- 快速响应:OpenAI数小时内撤销证书并发布更新
- 用户行动:立即更新所有OpenAI桌面应用
- 更广泛影响:凸显软件供应链的脆弱性
