OpenAI回应供应链安全事件：尚未发现实际用户受到影响

AIPress.com.cn报道

4月11日消息，OpenAI表示，其内部系统近期受到一次软件供应链安全事件的影响。一项用于为 MacOS 应用签署证书的内部工具曾下载到被篡改的开源软件更新，但目前尚未发现实际用户受到影响。

根据 OpenAI 发布的说明，3 月 31 日，公司一项 GitHub 自动化流程从开源 JavaScript 库 Axios 下载了一次更新，而当天黑客通过劫持一名开发者账户向该库发布了两个包含恶意代码的版本。Axios 是一个广泛使用的 HTTP 请求库，与美国媒体公司 Axios 并无关联。

OpenAI 表示，该自动化流程用于为 MacOS 应用生成签名证书。如果攻击者能够利用这一系统，理论上可能获取相关证书，并制作看似合法的 OpenAI 应用程序，从而欺骗设备或应用商店的安全机制。

公司称，目前没有证据表明用户数据、知识产权或内部系统遭到入侵，也未发现 iOS、Android、Windows 等平台应用受到影响。受潜在影响的范围主要涉及 MacOS 版本应用，包括 ChatGPT、Atlas 和 Codex 等产品。

此次事件发生在一次更大规模的软件供应链攻击背景下。谷歌此前表示，该攻击活动与朝鲜黑客组织有关。

作为预防措施，OpenAI宣布将于 5 月 8 日停止支持旧版本 MacOS 应用，并建议用户在 30 天内更新软件。届时旧证书将被撤销，可能导致旧版本应用无法下载或首次启动。（AI普瑞斯编译）