Технологичният гигант OpenAI обяви в петък, че е идентифицирал проблем със сигурността, свързан с външния инструмент за разработчици Axios. Компанията предприема спешни мерки за защита на процеса по сертифициране на своите приложения за macOS, за да гарантира тяхната автентичност.
Разработчикът на ChatGPT поясни, че не са открити доказателства за достъп до потребителски данни, компрометиране на интелектуална собственост или промяна на софтуера. Въпреки това се въвеждат нови сертификати за сигурност, които изискват от всички потребители на macOS да актуализират своите приложения до най-новите версии.
Според официалните данни широко използваната библиотека Axios е била компрометирана на 31 март. Инцидентът е част от мащабна атака срещу веригата за доставки на софтуер, за която се смята, че е свързана с участници от Северна Корея.
В резултат на атаката работният процес в GitHub Actions, използван от OpenAI, е изтеглил и изпълнил злонамерена версия на Axios. Този процес е имал достъп до сертификати и материали за нотариализация, използвани за подписване на приложенията ChatGPT Desktop, Codex, Codex-cli и Atlas.
Анализът на OpenAI показва, че сертификатът за подписване вероятно не е бил успешно извлечен от зловредния софтуер. Като превантивна мярка от 8 май по-старите версии на десктоп приложенията за macOS ще спрат да получават поддръжка и може да преустановят функционирането си.
От компанията потвърдиха, че паролите и OpenAI API ключовете не са засегнати от инцидента. Основната причина за проблема е била неправилна конфигурация в GitHub Actions, която вече е отстранена.
Как те кара да се чувстваш тази история?
Google News