Olemme hiljattain tunnistaneet tietoturvaongelman, joka liittyy yleiseen avoimen lähdekoodin kirjastoon, TanStack npm:ään, ja on osa laajempaa hyökkäystä, joka tunnetaan nimellä Mini Shai-Hulud(avautuu uudessa ikkunassa). Emme löytäneet näyttöä siitä, että OpenAI:n käyttäjätietoihin olisi päästy käsiksi, että tuotantojärjestelmämme tai immateriaalioikeutemme olisivat vaarantuneet tai että ohjelmistoamme olisi muutettu.
Olemme ryhtyneet päättäväisiin toimiin suojataksemme käyttäjätietomme, järjestelmämme ja immateriaalioikeutemme. Osana vastaustamme ryhdymme toimiin suojataksemme prosessia, joka varmentaa macOS-sovellustemme olevan aitoja OpenAI-sovelluksia.
Päivitä macOS-sovelluksesi 12. kesäkuuta 2026 mennessä
Päivitämme tietoturvavarmenteitamme, minkä vuoksi kaikkien macOS-käyttäjien on päivitettävä OpenAI-sovelluksensa uusimpiin versioihin. Tämä auttaa estämään riskin – vaikka se onkin epätodennäköinen – että joku yrittäisi levittää väärennettyä sovellusta, joka näyttää olevan OpenAI:lta. Voit päivittää turvallisesti sovelluksen sisäisen päivityksen kautta tai alla olevien virallisten linkkien kautta:
Tietojesi turvallisuus ja yksityisyys ovat meille ensisijaisen tärkeitä. Olemme sitoutuneet avoimuuteen ja nopeaan toimintaan ongelmien ilmetessä. Jaamme alla lisää teknisiä yksityiskohtia ja usein kysyttyjä kysymyksiä.
11. toukokuuta 2026 UTC TanStack, laajasti käytetty avoimen lähdekoodin kirjasto, vaarantui osana laajempaa ohjelmistojen toimitusketjuhyökkäystä, joka tunnetaan nimellä Mini Shai-Hulud(avautuu uudessa ikkunassa).
Tämä hyökkäys vaikutti kahteen työntekijän laitteeseen yritysympäristössämme. Haitallisen toiminnan tunnistamisen jälkeen toimimme nopeasti tutkiaksemme tilanteen, rajataksemme sen ja suojataksemme järjestelmämme. Osana tutkintaa ja vastaustoimia käytimme ulkopuolista digitaalisen forensiikan ja tietoturvaloukkausten vastepalveluihin erikoistunutta yritystä.
Havaitsimme toimintaa, joka vastasi haittaohjelman julkisesti kuvattua käyttäytymistä, mukaan lukien luvaton pääsy ja tunnistetietoihin kohdistuva tietojen ulossiirto, rajatussa osassa sisäisiä lähdekoodivarastoja, joihin kahdella vaikutuksen saaneella työntekijällä oli pääsy. Vahvistimme, että näistä koodivarastoista siirrettiin onnistuneesti ulos vain rajallisesti tunnistetietomateriaalia eikä muihin tietoihin tai koodiin kohdistunut vaikutuksia.
Toimimme välittömästi toiminnan rajaamiseksi. Eristimme vaikutuksen saaneet järjestelmät ja identiteetit, mitätöimme käyttäjäistunnot, vaihdoimme kaikki tunnistetiedot vaikutuksen saaneissa varastoissa, rajoitimme väliaikaisesti koodin käyttöönoton työnkulkuja ja tarkastelimme perusteellisesti käyttäjä- ja tunnistetietokäyttäytymistä. Tutkintamme perusteella emme ole havainneet näyttöä vaikutuksista asiakastietoihin tai immateriaalioikeuksiimme, eikä analyysimme ole tunnistanut vaikutuksen saaneiden tunnistetietojen väärinkäyttöä tai uhkatoimijan jatkopääsyä.
Vaikutuksen saaneisiin lähdekoodivarastoihin sisältyi tuotteidemme, kuten iOS:n, macOS:n ja Windowsin, allekirjoitusvarmenteita. Tämän vuoksi vaihdamme koodin allekirjoitusvarmenteet varotoimena, mikä edellyttää macOS-käyttäjiltä sovellustensa päivittämistä. Windows- ja iOS-sovellusten käyttäjien ei tarvitse tehdä mitään. macOS-käyttäjille annetaan lisäohjeita näistä pakollisista päivityksistä.
Varmenteiden vaihtamisen lisäksi teemme yhteistyötä alustatoimittajien kanssa estääksemme näiden varmenteiden luvattoman käytön pysäyttämällä uudet notarisaatiot. Olemme myös tarkistaneet kaikki ohjelmistojen notarisaatiot, joissa on käytetty aiempia varmenteitamme, varmistaaksemme, ettei näillä avaimilla ole tapahtunut odottamatonta ohjelmistojen allekirjoittamista, ja vahvistaneet, ettei julkaistuihin ohjelmistoihimme ole tehty luvattomia muutoksia. Emme ole löytäneet näyttöä vaarantumisesta tai riskistä nykyisille ohjelmistoasennuksille.
Kun peruutamme varmenteemme kokonaan 12. kesäkuuta 2026, macOS:n suojaus estää uusien latausten ja käynnistysten tekemisen sovelluksilla, jotka on allekirjoitettu aiemmalla varmenteella.
Axios-tapauksen jälkeen nopeutimme tiettyjen tietoturvakontrollien ja -teknologioiden käyttöönottoa vähentääksemme tämänkaltaisten toimitusketjuhyökkäysten vaikutuksia. Tietoturvatoimemme sisälsivät CI/CD-putkessamme käytettävien arkaluonteisten tunnistetietomateriaalien lisäsuojaamisen, package manager -määritysten käyttöönoton kontrollien, kuten minimumReleaseAge-asetuksen, kanssa sekä lisätietoturvaohjelmiston uusien pakettien alkuperän varmentamiseksi.
Tämä tapaus sattui näiden kontrollien vaiheistetun käyttöönoton aikana, eikä kahdessa vaikutuksen saaneessa työntekijälaitteessa ollut päivitettyjä määrityksiä, jotka olisivat estäneet haittaohjelmaa sisältäneen uuden paketin lataamisen.
Tämä tapaus heijastaa laajempaa muutosta uhkaympäristössä: hyökkääjät kohdistavat toimintaansa yhä useammin jaettuihin ohjelmistoriippuvuuksiin ja kehitystyökaluihin yksittäisen yrityksen sijaan. Nykyaikainen ohjelmisto rakentuu syvästi yhteen kytkeytyneeseen avoimen lähdekoodin kirjastojen, package managerien sekä jatkuvan integraation ja jatkuvan käyttöönoton infrastruktuurin ekosysteemiin, mikä tarkoittaa, että ylävirrassa syntynyt haavoittuvuus voi levitä laajasti ja nopeasti organisaatioiden välillä. Jatkamme investointeja kontrolleihin, jotka varmistavat kolmansien osapuolten komponenttien eheyden ja alkuperän, sekä vahvistamme puolustustamme tällaisia ekosysteemitason toimitusketjuhyökkäyksiä vastaan.
Vaarantuivatko OpenAI:n tuotteet tai käyttäjätiedot?
Eivät. Emme ole löytäneet näyttöä siitä, että OpenAI:n tuotteet tai käyttäjätiedot olisivat vaarantuneet tai paljastuneet.
Oletteko havainneet OpenAI:na allekirjoitettua haittaohjelmaa?
Emme. Emme ole löytäneet näyttöä siitä, että haitallista ohjelmistoa olisi allekirjoitettu millään OpenAI:n varmenteella.
Pitääkö minun vaihtaa salasanani?
Ei. Asiakkaiden/käyttäjien salasanat ja API-avaimet eivät vaarantuneet.
Mihin alustoihin tämä vaikuttaa?
Windowsin, macOS:n, iOS:n ja Androidin allekirjoitusavaimemme vaarantuivat. Kaikki sovelluksemme allekirjoitetaan uudelleen ja julkaistaan uusilla varmenteilla. macOS-käyttäjien on päivitettävä sovelluksensa 12. kesäkuuta 2026 mennessä, jotta ne toimivat jatkossakin.
Miksi pyydätte minua päivittämään Mac-sovellukseni?
Päivittäminen varmistaa, että käytössäsi ovat uusimmalla varmenteellamme allekirjoitetut versiot. Tämä varmenne auttaa asiakkaita tietämään, että ohjelmisto tulee aidolta kehittäjältä, OpenAI:lta.
Mistä lataan päivitetyt macOS-sovellukset?
Lataa OpenAI-sovelluksia vain sovelluksen sisäisten päivitysten kautta tai alla olevien virallisten verkkosivujen kautta:
Älä asenna sovelluksia sähköpostien, viestien, mainosten tai kolmansien osapuolten lataussivustojen linkkien kautta. Suhtaudu varauksella odottamattomiin ”OpenAI”-, ”ChatGPT”- tai ”Codex”-asennusohjelmiin, joita lähetetään sähköpostin, tekstiviestien, chat-viestien, mainosten, tiedostojen jakamislinkkien tai kolmansien osapuolten lataussivustojen kautta.
Mitä tapahtuu 12. kesäkuuta 2026 jälkeen?
12. kesäkuuta 2026 alkaen macOS-työpöytäsovellustemme vanhemmat versiot eivät enää saa päivityksiä tai tukea, eivätkä ne välttämättä toimi. Nämä versiot ovat viimeiset julkaisut, jotka on allekirjoitettu vanhentuneella varmenteellamme:
- ChatGPT Desktop: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Miksi ette peruuta varmennetta heti?
Olemme pyrkineet estämään kaiken macOS-sovellusten uuden notarisaation vaikutuksen saaneella notarisaatiomateriaalilla. Tämä tarkoittaa, että mikä tahansa vilpillinen sovellus, joka esiintyy OpenAI-sovelluksena käyttäen vaikutuksen saanutta varmennetta, jää ilman notarisaatiota ja macOS:n suojaus estää sen oletusarvoisesti, ellei käyttäjä nimenomaisesti ohita näitä suojauksia. Koska uusi notarisaatio aiemmalla varmenteella on estetty ja koska varmenteen peruuttaminen voi saada macOS:n estämään aiemmalla varmenteella allekirjoitettujen sovellusten uudet lataukset ja ensikäynnistykset, annamme käyttäjillemme aikaa päivittää 12. kesäkuuta 2026 asti häiriöiden minimoimiseksi. Tämä aikaikkuna auttaa minimoimaan käyttäjäriskin ja antaa vaikutuksen saaneille asiakkaille mahdollisuuden päivittää sisäänrakennettujen päivitysmekanismien kautta varmistaen, että korjaavat toimet toteutuvat asianmukaisesti. Teemme yhteistyötä kumppaneidemme kanssa seuratakseen mahdollisia merkkejä allekirjoitusvarmenteen väärinkäytöstä ja nopeutamme peruutusaikataulua, jos tunnistamme haitallista toimintaa tämän aikaikkunan aikana.
