OpenAI открити уязвимост на външен модул във своите продукти – сигурността на потребителските данни не е нарушена

OpenAI съобщава за открита заплаха за сигурност и мерите за нейното отстраняване

OpenAI обяви, че е установила потенциална уязвимост в трети страни компонент Axios, който се използва в няколко от неговите приложения. В резултатът компанията трябваше да предприеме мерки за защита на процеса по сертифициране на софтуер под macOS.

- Липса на доказателства за компрометиране

Понастоящем OpenAI не е открила потвърждения, че злоупотребяващи лица са получили достъп до потребителски данни, нарушили работата на системите или променили софтуера.

- Как е затворена уязвимостта

Компанията актуализира сертификатите за сигурност и настойчиво препоръчва на всички потребители на приложения за macOS да преминат към най‑новите версии. Това ще помогне да се изключи рискът от разпространение на фалшив софтуер.

- Суть на инцидента

В началото на март библиотеката Axios беше хакната, а зловредният вариант бе зареден и стартиран в процеса CI/CD чрез GitHub Actions. Зловредната версия получи достъп до сертификатите, използвани за подписване на приложенията ChatGPT Desktop, Codex, Codex‑cli и Atlas. Анализът показва, че сертификатите не бяха откраднати с помощта на зловреден код.

- Проблем със стари версии

Десктопните приложения на OpenAI за macOS, издадени преди 8 март, вече няма да получават актуализации и поддръжка. Това може да доведе до загуба на работоспособност на програмите.

- Сигурност на ключовете

Компанията подчертала, че паролите и API‑ключовете на OpenAI останаха защитени. Основната причина за инцидента беше неправилна конфигурация на GitHub Actions, която вече е поправена.

Така OpenAI завърши работата по отстраняване на заплахата, актуализирайки сертификатите и предложила на потребителите да преминат към актуални версии на приложенията за macOS.