Az OpenAI felfedezte a külső modul sebezhetőségét termékeiben – az adatok biztonsága nem sérült

OpenAI jelentette a felfedezett biztonsági fenyegetést és a megoldási intézkedéseket

Az OpenAI bejelentette, hogy egy külső komponensben, az Axiosban találták fel a potenciális sebezhetőséget, amely több alkalmazásukban is használatos. Ennek következtében a cég biztonsági lépéseket kellett hoznia a macOS-hez készült szoftverek tanúsítási folyamatának védelme érdekében.

- Nincs bizonyíték a kompromittáltságra

Jelenleg az OpenAI nem talált megerősítést arra, hogy a támadók hozzáfértek volna a felhasználói adatokhoz, megsérült a rendszer működése vagy módosították volna a szoftvert.

- Hogyan zárták le a sebezhetőséget

A cég frissítette a biztonsági tanúsítványokat és erősen javasolja minden macOS‑alkalmazás felhasználójának, hogy lépjenek át a legfrissebb verziókra. Ez segíti a hamis szoftver terjedésének kockázatának kizárását.

- Az incidens lényege

Március elején az Axios könyvtárat feltörtek, és egy rosszindulatú változat letöltődött és futott le CI/CD folyamatban a GitHub Actions-on keresztül. A rosszindulatú verzió hozzáférést kapott a ChatGPT Desktop, Codex, Codex‑cli és Atlas alkalmazások aláírására használt tanúsítványokhoz. Az elemzés azt mutatta, hogy a tanúsítványokat nem lopták el a kódból.

- A régi verziók problémája

Az OpenAI macOS‑desktopalkalmazásai, amelyeket március 8. előtt adtak ki, többé nem kapnak frissítést és támogatást. Ez a szoftverek működési hibájához vezethet.

- A kulcsok biztonsága

A cég hangsúlyozta, hogy az OpenAI jelszavai és API‑kulcsai továbbra is védettek. Az incidens fő oka a GitHub Actions helytelen konfigurációja volt, amelyet már javítottak.

Így az OpenAI befejezte a fenyegetés megszüntetését, frissítve a tanúsítványokat és felajánlva a felhasználóknak, hogy lépjenek át a macOS‑alkalmazások aktuális verzióira.