International - Ekhbary Nachrichtenagentur
OpenAI, der Entwickler von ChatGPT, hat öffentlich eine Sicherheitslücke angesprochen, die mit Axios, einer weit verbreiteten Drittanbieter-Entwicklerbibliothek, in Verbindung steht. Der Vorfall, der am Freitag bekannt wurde, betraf hauptsächlich den Prozess zur Zertifizierung der Legitimität von OpenAIs macOS-Anwendungen. Entscheidend ist, dass die gründliche Untersuchung des Unternehmens keine Anzeichen dafür ergeben hat, dass Benutzerdaten abgerufen, geistiges Eigentum kompromittiert oder die Software während des Vorfalls verändert wurde. Diese Zusicherung kommt, da OpenAI zügig seine Sicherheitszertifizierungen aktualisiert und alle macOS-Benutzer auffordert, ihre Anwendungen auf die neuesten Versionen zu aktualisieren, um potenzielle Risiken durch bösartige Verbreitungsversuche zu mindern.
Die Sicherheitsverletzung entstand aus einem breiteren Software-Lieferkettenangriff vom 31. März, der vermutlich von Akteuren mit Verbindungen zu Nordkorea orchestriert wurde. Dieser ausgeklügelte Angriff führte dazu, dass ein von OpenAI verwendeter GitHub Actions-Workflow unbeabsichtigt eine bösartige Version von Axios herunterlud und ausführte. Obwohl dieser Workflow Zugriff auf sensible Zertifizierungs- und Notarisierungsmaterialien für macOS-Anwendungen wie ChatGPT Desktop, Codex und Atlas hatte, deutet OpenAIs Analyse darauf hin, dass das Signaturzertifikat wahrscheinlich nicht erfolgreich exfiltriert wurde. Als Reaktion darauf hat OpenAI die Fehlkonfiguration in seinem GitHub Actions-Workflow behoben, die als Grundursache identifiziert wurde. Darüber hinaus werden ältere Versionen von OpenAIs macOS-Desktop-Anwendungen nach dem 8. Mai keine Updates oder Unterstützung mehr erhalten und möglicherweise nicht mehr funktionsfähig sein, was die Dringlichkeit für Benutzer unterstreicht, ein Upgrade durchzuführen. Das Unternehmen bestätigte auch, dass Benutzerpasswörter und OpenAI-API-Schlüssel nicht betroffen waren.
