हमने हाल ही में एक सामान्य ओपन-सोर्स लाइब्रेरी, TanStack npm, से जुड़ी एक सुरक्षा समस्या की पहचान की है, जो Mini Shai-Hulud(एक नई विंडो में खुलेगा) नामक एक व्यापक हमले का हिस्सा है. हमें ऐसा कोई प्रमाण नहीं मिला कि OpenAI उपयोगकर्ता डेटा तक पहुंच बनाई गई, कि हमारे प्रोडक्शन सिस्टम या बौद्धिक संपदा से समझौता हुआ, या कि हमारे सॉफ़्टवेयर में बदलाव किया गया.
हमने अपने उपयोगकर्ता डेटा, सिस्टम और बौद्धिक संपदा की सुरक्षा के लिए निर्णायक कदम उठाए हैं. अपनी प्रतिक्रिया के हिस्से के रूप में, हम उस प्रक्रिया की सुरक्षा के लिए कदम उठा रहे हैं जो प्रमाणित करती है कि हमारे macOS एप्लिकेशन वैध OpenAI ऐप्स हैं.
12 जून, 2026 तक अपने macOS एप्लिकेशन अपडेट करें
हम अपने सुरक्षा सर्टिफिकेट अपडेट कर रहे हैं, जिसके लिए सभी macOS उपयोगकर्ताओं को अपने OpenAI ऐप्स को नवीनतम संस्करणों में अपडेट करना होगा. इससे उस जोखिम को रोकने में मदद मिलती है, चाहे उसकी संभावना बहुत कम ही क्यों न हो, कि कोई OpenAI से होने वाला नकली ऐप वितरित करने की कोशिश करे. आप नीचे दिए गए आधिकारिक लिंक पर या इन-ऐप अपडेट के माध्यम से सुरक्षित रूप से अपडेट कर सकते हैं:
आपकी जानकारी की सुरक्षा और गोपनीयता हमारी सर्वोच्च प्राथमिकता है. समस्याएं सामने आने पर हम पारदर्शी रहने और तेज़ी से कार्रवाई करने के लिए प्रतिबद्ध हैं. हम नीचे अधिक तकनीकी विवरण और अक्सर पूछे जाने वाले सवाल साझा कर रहे हैं.
11 मई, 2026 UTC को, व्यापक रूप से उपयोग की जाने वाली ओपन-सोर्स लाइब्रेरी TanStack, Mini Shai-Hulud नामक एक बड़े सॉफ़्टवेयर सप्लाई चेन हमले के हिस्से के रूप में समझौता-ग्रस्त हो गई(एक नई विंडो में खुलेगा).
हमारे कॉर्पोरेट वातावरण में दो कर्मचारी डिवाइस इस हमले से प्रभावित हुए. दुर्भावनापूर्ण गतिविधि की पहचान होते ही हमने जांच, नियंत्रण और अपने सिस्टम की सुरक्षा के लिए तेज़ी से काम किया. अपनी जांच और प्रतिक्रिया के हिस्से के रूप में, हमने एक तृतीय-पक्ष डिजिटल फॉरेंसिक और घटना-प्रतिक्रिया फर्म को शामिल किया.
हमने मैलवेयर के सार्वजनिक रूप से वर्णित व्यवहार के अनुरूप गतिविधि देखी, जिसमें अनधिकृत पहुंच और क्रेडेंशियल-केंद्रित डेटा-निकासी गतिविधि शामिल थी, आंतरिक सोर्स कोड रिपॉज़िटरी के एक सीमित हिस्से में, जिन तक उन दो प्रभावित कर्मचारियों की पहुंच थी. हमने पुष्टि की कि इन कोड रिपॉज़िटरी से केवल सीमित क्रेडेंशियल सामग्री ही सफलतापूर्वक निकाली गई थी और कोई अन्य जानकारी या कोड प्रभावित नहीं हुआ.
हमने गतिविधि को नियंत्रित करने के लिए तुरंत कार्रवाई की. हमने प्रभावित सिस्टम और पहचानों को अलग किया, उपयोगकर्ता सत्र रद्द किए, प्रभावित रिपॉज़िटरी में सभी क्रेडेंशियल बदले, कोड-डिप्लॉयमेंट वर्कफ़्लो को अस्थायी रूप से सीमित किया, और उपयोगकर्ता तथा क्रेडेंशियल व्यवहार की गहन जांच की. अपनी जांच के हिस्से के रूप में, हमें ग्राहक डेटा या हमारी बौद्धिक संपदा पर प्रभाव का कोई प्रमाण नहीं मिला, और हमारे विश्लेषण में प्रभावित क्रेडेंशियल के दुरुपयोग या हमलावर द्वारा आगे की पहुंच की पहचान नहीं हुई.
प्रभावित सोर्स कोड रिपॉज़िटरी में हमारे उत्पादों, जिनमें iOS, macOS और Windows शामिल हैं, के लिए साइनिंग सर्टिफिकेट शामिल थे. परिणामस्वरूप, एहतियात के तौर पर हम कोड-साइनिंग सर्टिफिकेट बदल रहे हैं, जिसके लिए macOS उपयोगकर्ताओं को अपने एप्लिकेशन अपडेट करने होंगे. Windows और iOS ऐप्स के लिए उपयोगकर्ताओं को कोई कार्रवाई करने की आवश्यकता नहीं है. इन आवश्यक अपडेट के बारे में macOS उपयोगकर्ताओं को अतिरिक्त मार्गदर्शन दिया जाएगा.
सर्टिफिकेट बदलने के अलावा, हम प्लेटफ़ॉर्म प्रदाताओं के साथ समन्वय कर रहे हैं ताकि नई नोटराइज़ेशन रोककर इन सर्टिफिकेट का कोई भी अनधिकृत उपयोग रोका जा सके. हमने अपने पिछले सर्टिफिकेट का उपयोग करके किए गए सभी सॉफ़्टवेयर नोटराइज़ेशन की भी समीक्षा की है ताकि यह पुष्टि हो सके कि इन कुंजियों के साथ कोई अप्रत्याशित सॉफ़्टवेयर साइनिंग नहीं हुई, और यह सत्यापित किया है कि हमारे प्रकाशित सॉफ़्टवेयर में कोई अनधिकृत संशोधन नहीं था. हमें मौजूदा सॉफ़्टवेयर इंस्टॉलेशन के लिए समझौते या जोखिम का कोई प्रमाण नहीं मिला है.
जब हम 12 जून, 2026 को अपना सर्टिफिकेट पूरी तरह रद्द कर देंगे, तब पिछले सर्टिफिकेट से साइन किए गए ऐप्स के नए डाउनलोड और लॉन्च macOS सुरक्षा सुरक्षा उपायों द्वारा अवरुद्ध कर दिए जाएंगे.
Axios घटना के बाद, हमने इस तरह के आपूर्ति शृंखला हमलों के प्रभाव को कम करने के लिए विशिष्ट सुरक्षा नियंत्रणों और तकनीकों की तैनाती में तेज़ी लाई. हमारी सुरक्षा प्रतिक्रिया में हमारी CI/CD पाइपलाइन में उपयोग होने वाली संवेदनशील क्रेडेंशियल सामग्री को और मजबूत करना, minimumReleaseAge जैसे नियंत्रणों के साथ पैकेज मैनेजर कॉन्फ़िगरेशन की तैनाती, और नए पैकेजों की उत्पत्ति सत्यापित करने के लिए अतिरिक्त सुरक्षा सॉफ़्टवेयर शामिल थे.
यह घटना इन नियंत्रणों की हमारी चरणबद्ध तैनाती और रोलआउट के दौरान हुई, और दो प्रभावित कर्मचारी डिवाइसों में वे अपडेटेड कॉन्फ़िगरेशन नहीं थे जो मैलवेयर वाले नए देखे गए पैकेज के डाउनलोड को रोक सकते थे.
यह घटना खतरे के परिदृश्य में एक व्यापक बदलाव को दर्शाती है: हमलावर अब किसी एक कंपनी के बजाय साझा सॉफ़्टवेयर निर्भरताओं और डेवलपमेंट टूलिंग को अधिक निशाना बना रहे हैं. आधुनिक सॉफ़्टवेयर ओपन-सोर्स लाइब्रेरी, पैकेज मैनेजर और कंटीन्युअस इंटीग्रेशन तथा कंटीन्युअस डिप्लॉयमेंट इन्फ्रास्ट्रक्चर के गहराई से जुड़े इकोसिस्टम पर बनाया जाता है, जिसका अर्थ है कि ऊपर की ओर आई कोई भेद्यता संगठनों में व्यापक और तेज़ी से फैल सकती है. हम तृतीय-पक्ष घटकों की अखंडता और उत्पत्ति को सत्यापित करने वाले नियंत्रणों में निवेश जारी रखे हुए हैं और इस तरह के इकोसिस्टम-स्तरीय सप्लाई चेन हमलों के खिलाफ अपनी सुरक्षा मजबूत कर रहे हैं.
क्या OpenAI उत्पादों या उपयोगकर्ता डेटा से समझौता हुआ था?
नहीं. हमें ऐसा कोई प्रमाण नहीं मिला कि OpenAI उत्पादों या उपयोगकर्ता डेटा से समझौता हुआ या वे उजागर हुए.
क्या आपने OpenAI के नाम से साइन किया गया मैलवेयर देखा है?
नहीं. हमें ऐसा कोई प्रमाण नहीं मिला कि OpenAI के किसी भी सर्टिफिकेट का उपयोग करके दुर्भावनापूर्ण सॉफ़्टवेयर साइन किया गया हो.
क्या मुझे अपना पासवर्ड बदलने की ज़रूरत है?
नहीं. ग्राहक/उपयोगकर्ता पासवर्ड और API कुंजियां प्रभावित नहीं हुईं.
यह किन प्लेटफ़ॉर्म को प्रभावित करता है?
Windows, macOS, iOS और Android के लिए हमारी साइनिंग कुंजियां प्रभावित हुईं. हमारे सभी एप्लिकेशन नए सर्टिफिकेट के साथ फिर से साइन किए जा रहे हैं और जारी किए जा रहे हैं. macOS उपयोगकर्ताओं को 12 जून, 2026 तक अपडेट करने के लिए कार्रवाई करनी होगी ताकि एप्लिकेशन काम करते रहें.
आप मुझसे मेरे Mac ऐप्स अपडेट करने के लिए क्यों कह रहे हैं?
अपडेट करने से यह सुनिश्चित होता है कि आप हमारे नवीनतम सर्टिफिकेट से साइन किए गए संस्करण चला रहे हैं. यह सर्टिफिकेट ग्राहकों को यह जानने में मदद करता है कि सॉफ़्टवेयर वैध डेवलपर OpenAI से आया है.
मैं अपडेट किए गए macOS ऐप्स कहां से डाउनलोड करूं?
OpenAI ऐप्स केवल इन-ऐप अपडेट या नीचे दिए गए आधिकारिक वेबपेजों से ही डाउनलोड करें:
ईमेल, संदेशों, विज्ञापनों या तृतीय-पक्ष डाउनलोड साइटों के लिंक से ऐप्स इंस्टॉल न करें. ईमेल, टेक्स्ट, चैट संदेशों, विज्ञापनों, फ़ाइल-शेयरिंग लिंक या तृतीय-पक्ष डाउनलोड साइटों के माध्यम से भेजे गए अप्रत्याशित “OpenAI,” “ChatGPT,” या “Codex” इंस्टॉलर से सावधान रहें.
12 जून, 2026 के बाद क्या होगा?
12 जून, 2026 से प्रभावी रूप से, हमारे macOS डेस्कटॉप ऐप्स के पुराने संस्करणों को अब अपडेट या समर्थन नहीं मिलेगा, और वे काम न भी करें. ये संस्करण हमारे पुराने प्रमाणपत्र से हस्ताक्षरित अंतिम रिलीज़ हैं:
- ChatGPT डेस्कटॉप: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
आप सर्टिफिकेट को तुरंत रद्द क्यों नहीं कर रहे हैं?
हमने प्रभावित नोटराइज़ेशन सामग्री के साथ macOS ऐप्स की किसी भी आगे की नोटराइज़ेशन को रोकने के लिए काम किया है. इसका मतलब है कि प्रभावित सर्टिफिकेट का उपयोग करके OpenAI ऐप के रूप में पेश किया गया कोई भी धोखाधड़ी वाला ऐप नोटराइज़ेशन से रहित होगा, और इसलिए macOS सुरक्षा सुरक्षा उपायों द्वारा डिफ़ॉल्ट रूप से अवरुद्ध कर दिया जाएगा, जब तक कि कोई उपयोगकर्ता स्पष्ट रूप से उन सुरक्षा उपायों को बायपास न करे. क्योंकि पिछले सर्टिफिकेट के साथ नई नोटराइज़ेशन अवरुद्ध है, और क्योंकि रद्दीकरण के कारण macOS पिछले सर्टिफिकेट से साइन किए गए ऐप्स के नए डाउनलोड और पहली बार लॉन्च को अवरुद्ध कर सकता है, हम व्यवधान को कम करने के लिए अपने उपयोगकर्ताओं को 12 जून, 2026 तक अपडेट करने का समय दे रहे हैं. यह अवधि उपयोगकर्ता जोखिम को कम करने में मदद करेगी और प्रभावित क्लाइंट्स को अंतर्निहित अपडेट तंत्रों के माध्यम से अपडेट करने देगी, जिससे यह सुनिश्चित होगा कि उनका उचित समाधान हो गया है. हम अपने भागीदारों के साथ साइनिंग सर्टिफिकेट के दुरुपयोग के किसी भी संकेत की निगरानी के लिए काम कर रहे हैं, और यदि इस अवधि के दौरान हमें दुर्भावनापूर्ण गतिविधि की पहचान होती है तो हम रद्दीकरण की समयसीमा तेज़ कर देंगे.
