OpenAI выявила уязвимость внешнего модуля в своих продуктах – безопасность данных пользователей не нарушена

OpenAI сообщает о выявленной угрозе безопасности и мерах по её устранению

OpenAI объявила об обнаружении потенциальной уязвимости в стороннем компоненте Axios, который используется в нескольких её приложениях. В результате компании пришлось принять меры для защиты процесса сертификации программ под macOS.

- Отсутствие доказательств компрометации
На данный момент OpenAI не нашла подтверждений того, что злоумышленники получили доступ к пользовательским данным, нарушили работу систем или изменили ПО.

- Как закрыли уязвимость
Компания обновила сертификаты безопасности и настоятельно рекомендует всем пользователям приложений для macOS перейти на последние версии. Это поможет исключить риск распространения поддельного программного обеспечения.

- Суть инцидента
В начале марта библиотека Axios была взломана, а вредоносный вариант был загружен и запущен в процессе CI/CD через GitHub Actions. Вредоносная версия получила доступ к сертификатам, использовавшимся для подписи приложений ChatGPT Desktop, Codex, Codex‑cli и Atlas. Анализ показал, что сертификаты не были украдены с помощью вредоносного кода.

- Проблема старых версий
Десктопные приложения OpenAI для macOS, выпущенные до 8 марта, больше не будут получать обновления и поддержку. Это может привести к потере работоспособности программ.

- Безопасность ключей
Компания подчеркнула, что пароли и API‑ключи OpenAI остались защищёнными. Основной причиной инцидента стала неверная конфигурация GitHub Actions, которую уже исправили.

Таким образом, OpenAI завершила работу над устранением угрозы, обновив сертификаты и предложив пользователям перейти на актуальные версии приложений для macOS.