OpenAI a identificat o vulnerabilitate în modulul extern din produsele sale – securitatea datelor utilizatorilor nu este compromisă

OpenAI anunță o amenințare de securitate identificată și măsurile luate pentru a o elimina

OpenAI a declarat că a descoperit o vulnerabilitate potențială în componenta terță Axios, utilizată în mai multe dintre aplicațiile sale. În consecință, compania a fost nevoită să ia măsuri pentru a proteja procesul de certificare a software-ului pe macOS.

- Lipsa dovezilor de compromis

Până în prezent OpenAI nu a găsit confirmări că atacatorii ar fi obținut acces la datele utilizatorilor, ar fi perturbat funcționarea sistemelor sau ar fi modificat software-ul.

- Cum s-a închis vulnerabilitatea

Compania a actualizat certificatele de securitate și recomandă cu tărie tuturor utilizatorilor aplicațiilor pentru macOS să treacă la cele mai recente versiuni. Aceasta va ajuta la eliminarea riscului de răspândire a software-ului fals.

- Esența incidentului

În începutul lunii martie, biblioteca Axios a fost hackuită și o variantă malițioasă a fost descărcată și rulată în cadrul CI/CD prin GitHub Actions. Versiunea malițioasă a obținut acces la certificatele utilizate pentru semnarea aplicațiilor ChatGPT Desktop, Codex, Codex‑cli și Atlas. Analiza a arătat că certificatele nu au fost furate de către codul malițios.

- Problema versiunilor vechi

Aplicațiile desktop OpenAI pentru macOS lansate înainte de 8 martie nu vor mai primi actualizări și suport. Aceasta poate duce la pierderea funcționalității programelor.

- Securitatea cheilor

Compania a subliniat că parolele și API‑key-urile OpenAI au rămas protejate. Cauza principală a incidentului a fost o configurare greșită a GitHub Actions, care a fost deja corectată.

Astfel, OpenAI a finalizat lupta cu amenințarea, actualizând certificatele și oferind utilizatorilor să treacă la versiunile curente ale aplicațiilor pentru macOS.