鉅亨網編譯莊閔棻
ChatGPT 開發商 OpenAI 表示,已發現第三方開發者工具 Axios 存在安全漏洞,並正在採取措施保護其 macOS 應用程式的認證流程,確保其應用為合法的 OpenAI 應用。
根據《路透》報導,OpenAI 表示,目前未發現任何證據顯示用戶資料遭存取、系統或智慧財產受到入侵,或其軟體被竄改。
OpenAI 表示,正在更新其安全憑證機制,並要求所有 macOS 用戶將 OpenAI 應用程式升級至最新版本,以降低有人散布假冒應用程式的風險。
OpenAI 指出,廣泛使用的第三方開發函式庫 Axios 於 3 月 31 日遭入侵,屬於一場更大規模的軟體供應鏈攻擊,背後行動者被認為與北韓有關。
該攻擊導致 OpenAI 在 GitHub Actions 上的一個工作流程下載並執行了遭植入惡意程式的 Axios 版本。
該流程原本可存取用於 macOS 應用簽章與公證的憑證資料,影響範圍涵蓋桌面版 ChatGPT、Codex、Codex-cli 與 Atlas 等應用。
OpenAI 表示,經分析後認為,此次事件中該工作流程所使用的應用簽章憑證,很可能未被惡意程式成功外洩。
OpenAI 指出,自 5 月 8 日起,舊版 macOS 桌面應用將不再提供更新或技術支援,並可能無法正常運作。
公司同時強調,此次第三方資安事件未影響用戶密碼與 OpenAI API 金鑰,並補充說明,事件的根本原因為 GitHub Actions 工作流程配置錯誤,目前已完成修正。
上一篇
下一篇
