Tuvastasime hiljuti turbeprobleemi, mis puudutab levinud avatud lähtekoodiga teeki TanStack npm ja on osa ulatuslikumast ründest, mida tuntakse nime „ Mini Shai-Hulud(avaneb uues aknas)“ all. Me ei leidnud tõendeid selle kohta, et OpenAI kasutajaandmetele oleks ligi pääsetud, et meie tootmissüsteemid või intellektuaalomand oleksid sattunud ohtu või et meie tarkvara oleks muudetud.
Oleme astunud otsustavaid samme, et kaitsta kasutajaandmeid, süsteeme ja intellektuaalomandit. Osana oma reageerimisest astume samme, et kaitsta protsessi, mis kinnitab, et meie macOS-i rakendused on legitiimsed OpenAI rakendused.
Uuendage oma macOS-i rakendusi hiljemalt 12. juuniks 2026
Uuendame oma turvasertifikaate, mis nõuab kõigilt macOS-i kasutajatelt oma OpenAI rakenduste uuendamist uusimatele versioonidele. See aitab vältida mis tahes riski, olgugi ebatõenäolist, et keegi püüab levitada võltsrakendust, mis näib pärinevat OpenAI-lt. Saate turvaliselt uuendada rakendusesisese uuenduse kaudu või allolevatelt ametlikelt linkidelt:
Teie teabe turvalisus ja privaatsus on meie jaoks esmatähtsad. Oleme pühendunud läbipaistvusele ja kiirele tegutsemisele probleemide ilmnemisel. Jagame allpool rohkem tehnilisi üksikasju ja KKK-d.
11. mail 2026 UTC kompromiteeriti laialdaselt kasutatav avatud lähtekoodiga teek TanStack osana laiemast tarkvara tarneahela rünnakust nimega Mini Shai-Hulud(avaneb uues aknas).
See rünnak mõjutas kahte töötaja seadet meie ettevõttekeskkonnas. Pahatahtliku tegevuse tuvastamisel tegutsesime kiiresti, et juhtumit uurida, see ohjeldada ja astuda samme oma süsteemide kaitsmiseks. Uurimise ja reageerimise osana kaasasime kolmanda osapoole digitaalse kohtuekspertiisi ja intsidentidele reageerimise ettevõtte.
Täheldasime tegevust, mis vastas pahavara avalikult kirjeldatud käitumisele, sealhulgas volitamata juurdepääsu ja mandaatide väljaviimise tegevust, piiratud hulgas sisemistes lähtekoodirepositooriumides, millele kahel mõjutatud töötajal oli juurdepääs. Kinnitasime, et neist koodirepositooriumidest viidi edukalt välja ainult piiratud hulk mandaadimaterjali ning muud teavet ega koodi ei mõjutatud.
Tegutsesime kohe, et tegevus ohjeldada. Isoleerisime mõjutatud süsteemid ja identiteedid, tühistasime kasutajaseansid, vahetasime kõik mõjutatud repositooriumide mandaadid, piirasime ajutiselt koodi juurutamise töövooge ning uurisime põhjalikult kasutajate ja mandaatide käitumist. Uurimise käigus ei ole me täheldanud tõendeid mõju kohta kliendiandmetele ega meie intellektuaalomandile ning meie analüüs ei tuvastanud mõjutatud mandaatide väärkasutust ega ohutegija edasist juurdepääsu.
Mõjutatud lähtekoodirepositooriumid sisaldasid meie toodete, sealhulgas iOS-i, macOS-i ja Windowsi allkirjastamissertifikaate. Seetõttu vahetame ettevaatusabinõuna koodi allkirjastamise sertifikaadid välja, mis nõuab macOS-i kasutajatelt oma rakenduste uuendamist. Windowsi ja iOS-i rakenduste puhul ei pea kasutajad midagi tegema. macOS-i kasutajatele antakse nende nõutavate uuenduste kohta täiendavaid juhiseid.
Lisaks sertifikaatide vahetamisele koordineerime tegevust platvormipakkujatega, et takistada nende sertifikaatide volitamata kasutamist, peatades uued notaruseerimised. Oleme üle vaadanud ka kogu meie varasemate sertifikaatidega tarkvara notariseerimise, et veenduda, et nende võtmetega ei ole toimunud ootamatut tarkvara allkirjastamist, ning kinnitanud, et meie avaldatud tarkvaral ei olnud volitamata muudatusi. Me ei ole leidnud tõendeid kompromiteerimise ega riski kohta olemasolevatele tarkvarainstallatsioonidele.
Kui tühistame oma sertifikaadi täielikult 12. juunil 2026, blokeerivad macOS-i turvakaitsed uued allalaadimised ja käivitamised rakendustele, mis on allkirjastatud varasema sertifikaadiga.
Pärast Axiosi intsidenti kiirendasime konkreetsete turvameetmete ja tehnoloogiate juurutamist, et vähendada selliste tarneahela rünnete mõju nagu see. Meie turvareageerimine hõlmas meie CI/CD töövoolus kasutatavate tundlike mandaadimaterjalide täiendavat tugevdamist, paketihalduri konfiguratsioonide juurutamist kontrollidega nagu minimumReleaseAge ning täiendavat turvatarkvara uute pakettide päritolu valideerimiseks.
See intsident leidis aset nende kontrollide etapiviisilise juurutamise ja kasutuselevõtu ajal ning kahel mõjutatud töötaja seadmel ei olnud uuendatud konfiguratsioone, mis oleksid takistanud pahavara sisaldava äsja täheldatud paketi allalaadimist.
See intsident peegeldab laiemat muutust ohumaastikul: ründajad sihivad üha enam jagatud tarkvarasõltuvusi ja arendustööriistu, mitte üksikut ettevõtet. Kaasaegne tarkvara põhineb sügavalt omavahel seotud avatud lähtekoodiga teekide, paketihaldurite ning pideva integratsiooni ja pideva juurutamise taristu ökosüsteemil, mis tähendab, et ülesvoolu sisse toodud haavatavus võib organisatsioonide vahel laialdaselt ja kiiresti levida. Jätkame investeerimist kontrollidesse, mis valideerivad kolmandate osapoolte komponentide tervikluse ja päritolu, ning tugevdame oma kaitset sedalaadi ökosüsteemi tasandi tarneahela rünnakute vastu.
Kas OpenAI tooted või kasutajaandmed sattusid ohtu?
Ei. Me ei ole leidnud tõendeid selle kohta, et OpenAI tooted või kasutajaandmed oleksid sattunud ohtu või paljastunud.
Kas olete näinud OpenAI nime all allkirjastatud pahavara?
Ei. Me ei ole leidnud tõendeid selle kohta, et pahatahtlik tarkvara oleks allkirjastatud ühegi OpenAI sertifikaadiga.
Kas ma pean oma parooli muutma?
Ei. Kliendi-/kasutajaparoolid ja API võtmed ei olnud mõjutatud.
Milliseid platvorme see mõjutab?
Mõjutatud olid meie Windowsi, macOS-i, iOS-i ja Androidi allkirjastamisvõtmed. Kõik meie rakendused allkirjastatakse uuesti ja avaldatakse uute sertifikaatidega. macOS-i kasutajad peavad rakenduste töö jätkumiseks tegema uuenduse hiljemalt 12. juuniks 2026.
Miks palute mul oma Maci rakendusi uuendada?
Uuendamine tagab, et kasutate versioone, mis on allkirjastatud meie uusima sertifikaadiga. See sertifikaat aitab klientidel teada, et tarkvara pärineb legitiimselt arendajalt OpenAI-lt.
Kust ma saan uuendatud macOS-i rakendused alla laadida?
Laadige OpenAI rakendusi alla ainult rakendusesiseste uuenduste kaudu või allolevatelt ametlikelt veebilehtedelt:
Ärge installige rakendusi e-kirjades, sõnumites, reklaamides või kolmandate osapoolte allalaadimissaitidel olevate linkide kaudu. Olge ettevaatlikud ootamatute „OpenAI”, „ChatGPT” või „Codex” installeritega, mis saadetakse e-posti, tekstisõnumite, vestlussõnumite, reklaamide, failijagamislinkide või kolmandate osapoolte allalaadimissaitide kaudu.
Mis juhtub pärast 12. juunit 2026?
Alates 12. juunist 2026 ei saa meie macOS-i töölauarakenduste vanemad versioonid enam uuendusi ega tuge ning need ei pruugi toimida. Need versioonid on viimased väljalasked, mis on allkirjastatud meie aegunud sertifikaadiga:
- ChatGPT töölauarakendus: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Miks te ei tühista sertifikaati kohe?
Oleme töötanud selle nimel, et blokeerida macOS-i rakenduste edasine notariseerimine mõjutatud notariseerimismaterjaliga. See tähendab, et iga petturlik rakendus, mis esineb OpenAI rakendusena ja kasutab mõjutatud sertifikaati, jääb notariseerimiseta ning seetõttu blokeerivad macOS-i turvakaitsed selle vaikimisi, välja arvatud juhul, kui kasutaja neist kaitsetest sõnaselgelt möödub. Kuna uus notariseerimine varasema sertifikaadiga on blokeeritud ja kuna tühistamine võib põhjustada selle, et macOS blokeerib uued allalaadimised ja esmakordsed käivitamised rakendustele, mis on allkirjastatud varasema sertifikaadiga, anname kasutajatele häirete minimeerimiseks aega uuendada kuni 12. juunini 2026. See ajavahemik aitab minimeerida kasutajariski ja võimaldab mõjutatud klientidel uuendada sisseehitatud uuendusmehhanismide kaudu, tagades asjakohase leevendamise. Teeme koostööd partneritega, et jälgida allkirjastamissertifikaadi väärkasutuse märke, ning kiirendame tühistamise ajakava, kui tuvastame selle ajavahemiku jooksul pahatahtlikku tegevust.
