Nederland - Ekhbary Nieuwsagentschap
OpenAI heeft onlangs de ontdekking bekendgemaakt van een aanzienlijke beveiligingskwetsbaarheid die Axios betreft, een veelgebruikte externe ontwikkelaarsbibliotheek. Het incident, dat plaatsvond op 31 maart, maakte deel uit van een bredere softwaretoeleveringsketenaanval, toegeschreven aan actoren die vermoedelijk banden hebben met Noord-Korea. Deze aanval leidde tot het downloaden en uitvoeren van een kwaadaardige versie van Axios via een GitHub Actions-workflow die door OpenAI werd gebruikt. Deze workflow had toegang tot certificaten en notarisatiemateriaal dat werd gebruikt voor het ondertekenen van macOS-applicaties, waaronder ChatGPT Desktop, Codex en Atlas.
Ondanks de ernst van de situatie heeft OpenAI verzekerd dat hun grondige analyse geen bewijs heeft gevonden dat gebruikersgegevens zijn geraadpleegd, dat hun systemen of intellectueel eigendom zijn gecompromitteerd, of dat hun software is gewijzigd. Het bedrijf implementeert nu updates voor zijn beveiligingscertificeringen en heeft het voor alle macOS-gebruikers verplicht gesteld om hun OpenAI-apps bij te werken naar de nieuwste versies, om elk risico op het verspreiden van nep-apps te voorkomen. Vanaf 8 mei zullen oudere versies van OpenAI's macOS desktop-apps geen updates of ondersteuning meer ontvangen en mogelijk niet meer functioneel zijn. OpenAI bevestigde ook dat wachtwoorden en API-sleutels niet werden beïnvloed door het incident, en schreef de hoofdoorzaak van het beveiligingsprobleem toe aan een verkeerde configuratie in de GitHub Actions-workflow, die is aangepakt.
