OpenAI сообщила, что обнаружила угрозу безопасности, связанную со сторонним компонентом Axios, который используется в нескольких её приложениях. Компании пришлось принять меры, чтобы защитить процесс сертификации своих приложений под Apple macOS.
Источник изображения: Mariia Shalabaieva / unsplash.com
Компания не обнаружила доказательств того, что третьи лица получили доступ к данным пользователей, скомпрометировали системы или интеллектуальную собственность OpenAI либо сумели изменить работу её ПО. Чтобы закрыть уязвимость, OpenAI обновила сертификаты безопасности и настоятельно рекомендовала всем пользователям её приложений под macOS обновить их до последних версий — это позволит исключить попытки распространения поддельного ПО.
Широко используемая сторонняя библиотека Axios 31 марта подверглась взлому, а используемое в разработке средство GitHub Actions загрузило и запустило её «вредоносный» вариант. Оно имело доступ к сертификатам, использовавшимся для подписи приложений ChatGPT Desktop, Codex, Codex-cli и Atlas. В результате анализа выяснилось, что использовавшийся в GitHub Actions сертификат, скорее всего, не был похищен с помощью вредоносной полезной нагрузки.
Старые версии десктопных приложений OpenAI для macOS с 8 марта перестанут получать обновления и поддержку, после чего могут лишиться работоспособности. Пароли и ключи API OpenAI в результате инцидента не пострадали, подчеркнули в компании, а его первопричиной оказалась неверная конфигурация GitHub Actions, которую уже исправили.