OpenAI сообщила об обнаруженной угрозе безопасности, связанной с посторонним компонентом Axios, используемым в нескольких ее приложениях. Поэтому компания была вынуждена принять дополнительные меры для защиты процесса сертификации своих программ в macOS.
По данным OpenAI, признаков утечки данных пользователей, компрометации систем или интеллектуальной собственности не обнаружено. Также нет свидетельств того, что посторонние получили доступ к внутренним ресурсам или изменили работу программного обеспечения. Для устранения потенциальной угрозы компания обновила сертификаты безопасности и рекомендовала пользователям macOS как можно быстрее обновить приложения к актуальным версиям, чтобы избежать возможных рисков поддельного ПО.
Инцидент связан с тем, что широко используемая библиотека Axios 31 марта испытала компрометацию. Применяемый в процессе разработки инструмент GitHub Actions загрузил и запустил измененную версию библиотеки. Она могла получить доступ к сертификатам, которые используются для подписи приложений ChatGPT Desktop, Codex, Codex-cli и Atlas. В то же время дальнейший анализ показал, что ключи подписи, вероятно, не были похищены из-за вредной нагрузки.
OpenAI также отмечает, что старые версии десктопных приложений для macOS, выпущенные до 8 марта, больше не будут получать обновления и могут со временем потерять работоспособность. При этом пароли и API-ключи пользователей не пострадали. Первоначальной причиной инцидента названа неправильная конфигурация GitHub Actions, которая уже исправлена.