Kamakailan ay natukoy namin ang isang isyu sa seguridad na kinasasangkutan ng karaniwang open-source library, ang TanStack npm, na bahagi ng mas malawak na pag-atake na kilala bilang Mini Shai-Hulud(magbubukas sa bagong window). Wala kaming nakitang ebidensya na na-access ang data ng user ng OpenAI, na nakompromiso ang aming mga system sa produksyon o intelektwal na pag-aari, o na nabago ang aming software.
Nagsagawa kami ng mga tiyak na hakbang upang protektahan ang data ng aming user, mga system, at intelektwal na pag-aari. Bilang bahagi ng aming tugon, nagsasagawa kami ng mga hakbang upang protektahan ang prosesong nagpapatunay na ang aming mga macOS application ay lehitimong mga app ng OpenAI.
I-update ang iyong mga macOS application bago ang Hunyo 12, 2026
Ina-update namin ang aming mga certificate sa seguridad, na mangangailangan sa lahat ng user ng macOS na i-update ang kanilang mga OpenAI app sa mga pinakabagong bersyon. Nakakatulong ito upang maiwasan ang anumang panganib, malayo man ang posibilidad, na may taong magtangkang mamahagi ng pekeng app na mukhang mula sa OpenAI. Maaari kang ligtas na mag-update sa pamamagitan ng in-app update o sa mga opisyal na link sa ibaba:
Ang seguridad at pribasiya ng iyong impormasyon ay pangunahing priyoridad. Nakatuon kami sa pagiging bukas at sa mabilis na pagkilos kapag may lumilitaw na mga isyu. Nagbabahagi kami ng higit pang teknikal na detalye at mga FAQ sa ibaba.
Noong Mayo 11, 2026 UTC, ang TanStack, isang malawakang ginagamit na open-source library, ay nakompromiso bilang bahagi ng mas malawak na pag-atake sa software supply chain na kilala bilang Mini Shai-Hulud(magbubukas sa bagong window).
Dalawang device ng empleyado sa aming tanggapan ang naapektuhan ng pag-atakeng ito. Nang matukoy ang mapaminsalang aktibidad, mabilis kaming kumilos upang mag-imbestiga, pigilan itong kumalat, at magsagawa ng mga hakbang upang protektahan ang aming mga system. Bilang bahagi ng aming imbestigasyon at tugon, nagsangkot kami ng third-party na kumpanya sa digital na forensics at pagtugon sa insidente.
Nakakita kami ng aktibidad na tumutugma sa pampublikong inilarawang pagkilos ng malware, kabilang ang hindi awtorisadong pag-access at aktibidad sa pag-exfiltrate na nakatuon sa kredensyal, sa limitadong bahagi ng mga panloob na source code repository na naa-access ng dalawang apektadong empleyado. Nakumpirma namin na limitado lang ang materyal ng kredensyal na na-exfiltrate mula sa mga code repository na ito at na walang ibang impormasyon o code ang naapektuhan.
Agad kaming kumilos upang mapigilang kumalat ang aktibidad. Inihiwalay namin ang mga apektadong system at pagkakakilanlan, binawi ang mga sesyon ng user, pinalitan ang lahat ng kredensyal sa mga apektadong repository, pansamantalang nilimitahan ang mga daloy ng trabaho ng pag-deploy ng code, at masusing sinuri ang pagkilos at kredensyal ng user. Bilang bahagi ng aming imbestigasyon, wala kaming nakitang ebidensya ng epekto sa data ng customer, o sa aming intelektwal na pag-aari, at hindi natukoy ng aming pagsusuri ang maling paggamit ng mga apektadong kredensyal o kasunod na pag-access ng nagbabanta.
Kabilang sa mga apektadong source code repository ang mga signing certificate para sa aming mga produkto, kabilang ang iOS, macOS, at Windows. Bilang resulta, pinapalitan namin ang mga code-signing certificate bilang pag-iingat, na mangangailangan sa mga user ng macOS na i-update ang kanilang mga application. Walang kailangang gawin ang mga user ng Windows at iOS apps. Magbibigay ng karagdagang gabay sa mga user ng macOS tungkol sa mga kinakailangang update na ito.
Bukod sa pagpapalit ng mga certificate, nakikipag-ugnayan kami sa mga platform provider upang pigilan ang anumang hindi awtorisadong paggamit ng mga certificate na ito sa pamamagitan ng pagpapatigil sa mga bagong pag-notarize. Sinuri rin namin ang lahat ng software sa pag-notarize gamit ang aming mga naunang certificate upang kumpirmahing walang naganap na hindi inaasahang software signing gamit ang mga key na ito, at napatunayan naming walang hindi awtorisadong pagbabago sa aming na-publish na software. Wala kaming nakitang ebidensya ng kompromiso o panganib sa mga umiiral na pag-install ng software.
Kapag ganap na naming nabawi ang aming certificate sa Hunyo 12, 2026, haharangan ng mga proteksyong panseguridad ng macOS ang mga bagong download at paglulunsad ng mga app na nilagdaan gamit ang naunang certificate.
Pagkatapos ng insidente sa Axios, pinabilis namin ang pag-deploy ng mga partikular na kontrol at teknolohiya sa seguridad upang mabawasan ang epekto ng mga pag-atake sa supply chain na tulad nito. Kabilang sa aming tugon sa seguridad ang higit pang pagpapatibay ng sensitibong materyal ng kredensyal na ginagamit sa aming CI/CD pipeline, pag-deploy ng mga kompigurasyon ng package manager na may mga kontrol tulad ng minimumReleaseAge, at karagdagang software sa seguridad upang patunayan ang pinagmulan ng mga bagong package.
Nangyari ang insidenteng ito habang isinasagawa namin nang paunti-unti ang pag-deploy at paglulunsad ng mga kontrol na ito, at ang dalawang apektadong device ng empleyado ay walang na-update na kompigurasyon na sana ay nakapigil sa pag-download ng bagong natukoy na package na may malware.
Ipinapakita ng insidenteng ito ang mas malawak na pagbabago sa plano ng banta: lalo nang pinupuntirya ng mga umaatake ang magkakabahaging software dependency at development tooling sa halip na iisang kumpanya lamang. Ang modernong software ay binubuo sa malalim na magkakaugnay na ekosistema ng mga open-source library, package manager, at imprastraktura ng tuloy-tuloy na integrasyon at pag-dploy, na nangangahulugan na ang isang kahinaang naipakilala sa upstream ay maaaring mabilis at malawak na kumalat sa iba't ibang organisasyon. Patuloy kaming namumuhunan sa mga kontrol na nagpapatunay sa integridad at pinagmulan ng mga third-party na bahagi at sa pagpapatibay ng aming mga depensa laban sa ganitong uri ng pag-atake sa supply chain sa antas ng ekosistema.
Nakompromiso ba ang mga produkto ng OpenAI o data ng user?
Hindi. Wala kaming nakitang ebidensya na nakompromiso o nalantad ang mga produkto ng OpenAI o data ng user.
May nakita ba kayong malware na nilagdaan bilang OpenAI?
Wala. Wala kaming nakitang ebidensya ng mapaminsalang software na nilagdaan gamit ang alinman sa mga certificate ng OpenAI.
Kailangan ko bang palitan ang aking password?
Hindi. Hindi naapektuhan ang mga password ng customer/user at mga API key.
Anong mga platform ang apektado nito?
Naapektuhan ang aming mga signing key para sa Windows, macOS, iOS, at Android. Lahat ng aming application ay muling nilalagdaan at inilalabas gamit ang mga bagong certificate. Kakailanganing kumilos ng mga user ng macOS upang mag-update bago ang Hunyo 12, 2026 upang patuloy na gumana ang mga application.
Bakit mo pina-update sa akin ang aking mga Mac app?
Tinitiyak ng pag-update na nagpapatakbo ka ng mga bersyong nilagdaan gamit ang aming pinakabagong certificate. Tinutulungan ng certificate na ito ang mga customer na malaman na ang software ay mula sa lehitimong developer, ang OpenAI.
Saan ko ida-download ang mga na-update na macOS app?
I-download lamang ang mga OpenAI app mula sa mga in-app na update o sa mga opisyal na webpage sa ibaba:
Huwag mag-install ng mga app mula sa mga link sa email, mensahe, ad, o mga third-party na site sa pag-download. Mag-ingat sa mga hindi inaasahang installer ng “OpenAI,” “ChatGPT,” o “Codex” na ipinadala sa pamamagitan ng email, text, mensahe sa chat, ad, link sa pagbabahagi ng file, o mga third-party na site sa pag-download.
Ano ang mangyayari pagkatapos ng Hunyo 12, 2026?
Simula Hunyo 12, 2026, ang mga mas lumang bersyon ng aming macOS desktop apps ay hindi na makakatanggap ng mga update o suporta, at maaaring hindi na gumana. Ang mga bersyong ito ang mga huling labas na nilagdaan gamit ang aming lumang certificate:
- ChatGPT Desktop: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Bakit hindi ninyo agad binabawi ang certificate?
Nagsikap kami upang harangan ang anumang karagdagang pag-notarize ng mga macOS app gamit ang apektadong materyal sa pag-notarize. Ibig sabihin nito, ang anumang mapanlinlang na app na nagpapanggap bilang OpenAI app gamit ang apektadong certificate ay walang pag-notarize, at samakatuwid ay haharangan bilang default ng mga proteksyong panseguridad ng macOS maliban kung tahasang babalewalain ng user ang mga proteksyong iyon. Dahil naharang ang bagong pag-notarize gamit ang naunang certificate, at dahil maaaring maging sanhi ang pagbawi upang harangan ng macOS ang mga bagong download at unang paglulunsad ng mga app na nilagdaan gamit ang naunang certificate, binibigyan namin ang aming mga user hanggang Hunyo 12, 2026 upang mag-update at mabawasan ang pagkaantala. Makakatulong ang panahong ito upang mabawasan ang panganib sa user at payagan ang mga apektadong client na mag-update sa pamamagitan ng mga built-in na mekanismo ng pag-update, na tinitiyak na naaayos sila nang wasto. Nakikipagtulungan kami sa aming mga katuwang upang subaybayan ang anumang palatandaan ng maling paggamit ng signing certificate, at pabibilisin namin ang iskedyul ng pagbawi kung may matukoy kaming mapaminsalang aktibidad sa panahong ito.
