国际 - 艾赫巴里通讯社
ChatGPT 的创建者 OpenAI 公开回应了与广泛使用的第三方开发库 Axios 相关的一个安全漏洞。该事件于周五曝光,主要影响了用于认证 OpenAI macOS 应用程序合法性的过程。至关重要的是,公司经过彻底调查,没有发现任何迹象表明在事件期间用户数据被访问、知识产权受损或其软件被更改。OpenAI 迅速更新其安全认证,要求所有 macOS 用户将其应用程序更新到最新版本,以减轻恶意分发尝试带来的任何潜在风险。
此次安全漏洞源于 3 月 31 日发生的一次更广泛的软件供应链攻击,据信是由与朝鲜有关联的行动者策划的。这次复杂的攻击导致 OpenAI 使用的一个 GitHub Actions 工作流无意中下载并执行了 Axios 的恶意版本。尽管此工作流可以访问用于 ChatGPT Desktop、Codex 和 Atlas 等 macOS 应用程序的敏感证书和公证材料,但 OpenAI 的分析表明,签名证书可能未被成功窃取。作为回应,OpenAI 已纠正其 GitHub Actions 工作流中的错误配置,该错误被确定为根本原因。此外,OpenAI macOS 桌面应用程序的旧版本将在 5 月 8 日之后停止接收更新或支持,并可能无法正常运行,这强调了用户升级的紧迫性。公司还确认用户密码和 OpenAI API 密钥未受此第三方安全问题的影响。
