Nemrég azonosítottunk egy biztonsági problémát, amely egy gyakori nyílt forráskódú könyvtárat, a TanStack npm-et érinti, és amely egy szélesebb körű, Mini Shai-Hulud(új ablakban nyílik meg) néven ismert támadás része. Nem találtunk bizonyítékot arra, hogy OpenAI-felhasználói adatokhoz hozzáfértek volna, hogy éles rendszereink vagy szellemi tulajdonunk sérült volna, vagy hogy szoftvereinket módosították volna.
Határozott lépéseket tettünk felhasználói adataink, rendszereink és szellemi tulajdonunk védelme érdekében. Válaszlépéseink részeként intézkedéseket teszünk annak a folyamatnak a védelmére, amely tanúsítja, hogy macOS-alkalmazásaink legitim OpenAI-alkalmazások.
Frissítse macOS-alkalmazásait 2026. június 12-ig
Frissítjük biztonsági tanúsítványainkat, ami megköveteli, hogy minden macOS-felhasználó a legújabb verziókra frissítse OpenAI-alkalmazásait. Ez segít megelőzni annak bármilyen, bármilyen valószínűtlen kockázatát, hogy valaki egy OpenAI-tól származónak tűnő hamis alkalmazást próbáljon terjeszteni. Biztonságosan frissíthet az alkalmazáson belüli frissítésen keresztül vagy az alábbi hivatalos linkeken:
Az Ön adatainak biztonsága és adatvédelme kiemelt prioritás számunkra. Elkötelezettek vagyunk az átláthatóság mellett, és amint problémák merülnek fel, gyorsan cselekszünk. Az alábbiakban további technikai részleteket és GYIK-et osztunk meg.
2026. május 11-én (UTC) a széles körben használt nyílt forráskódú könyvtár, a TanStack, egy szélesebb körű, Mini Shai-Hulud néven ismert szoftveres ellátásilánc-támadás részeként kompromittálódott(új ablakban nyílik meg).
Vállalati környezetünkben két munkavállalói eszközt érintett ez a támadás. A rosszindulatú tevékenység azonosítását követően gyorsan megkezdtük a vizsgálatot, az incidens elszigetelését, és lépéseket tettünk rendszereink védelmére. Vizsgálatunk és válaszlépéseink részeként egy külső digitális kriminalisztikai és incidenskezelési céget is bevontunk.
Olyan tevékenységet figyeltünk meg, amely összhangban állt a kártevő nyilvánosan leírt működésével, beleértve a jogosulatlan hozzáférést és a hitelesítő adatok megszerzésére irányuló kiszivárogtatási tevékenységet, a belső forráskód-tárházak egy korlátozott részhalmazában, amelyekhez a két érintett munkavállaló hozzáfért. Megerősítettük, hogy ezekből a kódtárházakból csak korlátozott mennyiségű hitelesítő anyagot sikerült ténylegesen kiszivárogtatni, és semmilyen más információt vagy kódot nem érintett az incidens.
Azonnal léptünk a tevékenység megfékezésére. Elszigeteltük az érintett rendszereket és identitásokat, visszavontuk a felhasználói munkameneteket, lecseréltük az összes hitelesítő adatot az érintett tárházakban, ideiglenesen korlátoztuk a kódtelepítési munkafolyamatokat, és alaposan megvizsgáltuk a felhasználói és hitelesítőadat-viselkedést. Vizsgálatunk részeként nem észleltünk bizonyítékot az ügyféladatok vagy szellemi tulajdonunk érintettségére, és elemzésünk nem azonosított visszaélést az érintett hitelesítő adatokkal vagy további hozzáférést a fenyegető szereplő részéről.
Az érintett forráskód-tárházak tartalmazták termékeink aláíró tanúsítványait, beleértve az iOS-, macOS- és Windows-termékekét is. Ennek eredményeként elővigyázatosságból lecseréljük a kódaláíró tanúsítványokat, ami megköveteli, hogy a macOS-felhasználók frissítsék alkalmazásaikat. A Windows- és iOS-alkalmazások esetében a felhasználóknak nincs teendőjük. A macOS-felhasználók számára további útmutatást adunk ezekkel a kötelező frissítésekkel kapcsolatban.
A tanúsítványok cseréjén túl együttműködünk a platformszolgáltatókkal annak megakadályozására, hogy ezeket a tanúsítványokat jogosulatlanul használják, az új hitelesítések leállításával. Emellett felülvizsgáltuk a korábbi tanúsítványainkkal végzett összes szoftver-hitelesítést annak megerősítésére, hogy ezekkel a kulcsokkal nem történt váratlan szoftveraláírás, és ellenőriztük, hogy a közzétett szoftvereink nem tartalmaztak jogosulatlan módosításokat. Nem találtunk bizonyítékot kompromittálódásra vagy kockázatra a meglévő szoftvertelepítések esetében.
Amint 2026. június 12-én teljes mértékben visszavonjuk tanúsítványunkat, a korábbi tanúsítvánnyal aláírt alkalmazások új letöltéseit és indításait a macOS biztonsági védelmei blokkolni fogják.
Az Axios-incidens után felgyorsítottuk bizonyos biztonsági kontrollok és technológiák bevezetését, hogy csökkentsük az ehhez hasonló, ellátási láncot érő támadások hatását. Biztonsági válaszunk részeként tovább erősítettük a CI/CD-folyamatunkban használt érzékeny hitelesítő anyagok védelmét, olyan kontrollokat tartalmazó csomagkezelő-konfigurációkat vezettünk be, mint a minimumReleaseAge, valamint további biztonsági szoftvereket telepítettünk az új csomagok eredetének ellenőrzésére.
Ez az incidens e kontrollok fokozatos bevezetése és kiterjesztése közben történt, és a két érintett munkavállalói eszköz nem rendelkezett azokkal a frissített konfigurációkkal, amelyek megakadályozták volna a rosszindulatú programot tartalmazó, újonnan észlelt csomag letöltését.
Ez az incidens a fenyegetési környezet szélesebb körű változását tükrözi: a támadók egyre inkább a megosztott szoftverfüggőségeket és fejlesztői eszközöket célozzák, nem pedig egyetlen vállalatot. A modern szoftverek nyílt forráskódú könyvtárak, csomagkezelők, valamint folyamatos integrációs és folyamatos telepítési infrastruktúrák mélyen összekapcsolt ökoszisztémájára épülnek, ami azt jelenti, hogy egy upstream oldalon bevezetett sérülékenység széles körben és gyorsan terjedhet a szervezetek között. Továbbra is befektetünk olyan kontrollokba, amelyek ellenőrzik a külső komponensek integritását és eredetét, és erősítjük védelmünket az ilyen ökoszisztéma-szintű ellátásilánc-támadásokkal szemben.
Kompromittálódtak az OpenAI-termékek vagy a felhasználói adatok?
Nem. Nem találtunk bizonyítékot arra, hogy az OpenAI-termékek vagy a felhasználói adatok kompromittálódtak vagy kiszivárogtak volna.
Láttak OpenAI-ként aláírt rosszindulatú szoftvert?
Nem. Nem találtunk bizonyítékot arra, hogy bármely OpenAI-tanúsítvánnyal rosszindulatú szoftvert írtak volna alá.
Meg kell változtatnom a jelszavamat?
Nem. Az ügyfél-/felhasználói jelszavakat és az API-kulcsokat nem érintette az incidens.
Mely platformokat érinti ez?
A Windows, macOS, iOS és Android rendszerekhez tartozó aláírókulcsaink érintettek voltak. Minden alkalmazásunkat újra aláírjuk és új tanúsítványokkal adjuk ki. A macOS-felhasználóknak 2026. június 12-ig frissíteniük kell, hogy az alkalmazások továbbra is működjenek.
Miért kérik, hogy frissítsem a Mac-alkalmazásaimat?
A frissítés biztosítja, hogy a legújabb tanúsítványunkkal aláírt verziókat használja. Ez a tanúsítvány segít az ügyfeleknek meggyőződni arról, hogy a szoftver a legitim fejlesztőtől, az OpenAI-tól származik.
Honnan tölthetem le a frissített macOS-alkalmazásokat?
Az OpenAI-alkalmazásokat csak az alkalmazáson belüli frissítéseken keresztül vagy az alábbi hivatalos weboldalakról töltse le:
Ne telepítsen alkalmazásokat e-mailekben, üzenetekben, hirdetésekben vagy harmadik féltől származó letöltőoldalakon található linkekről. Legyen óvatos a váratlan, e-mailben, SMS-ben, chatüzenetben, hirdetésben, fájlmegosztó linken vagy harmadik féltől származó letöltőoldalon küldött „OpenAI”, „ChatGPT” vagy „Codex” telepítőkkel.
Mi történik 2026. június 12. után?
2026. június 12-től a macOS asztali alkalmazásaink régebbi verziói többé nem kapnak frissítéseket vagy támogatást, és előfordulhat, hogy nem működnek. Ezek a verziók az elavult tanúsítványunkkal aláírt utolsó kiadások:
- ChatGPT asztali alkalmazás: 1.2026.118
- Codex alkalmazás: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Miért nem vonják vissza azonnal a tanúsítványt?
Dolgoztunk azon, hogy megakadályozzuk a macOS-alkalmazások további hitelesítését az érintett hitelesítési anyaggal. Ez azt jelenti, hogy minden csalárd alkalmazás, amely az érintett tanúsítványt használva OpenAI-alkalmazásnak adja ki magát, nem fog hitelesítéssel rendelkezni, ezért a macOS biztonsági védelmei alapértelmezés szerint blokkolni fogják, hacsak a felhasználó kifejezetten meg nem kerüli ezeket a védelmeket. Mivel az új hitelesítés a korábbi tanúsítvánnyal blokkolva van, és mivel a visszavonás miatt a macOS blokkolhatja a korábbi tanúsítvánnyal aláírt alkalmazások új letöltéseit és első indításait, 2026. június 12-ig adunk időt felhasználóinknak a frissítésre a fennakadások minimalizálása érdekében. Ez az időablak segít minimalizálni a felhasználói kockázatot, és lehetővé teszi az érintett ügyfelek számára, hogy a beépített frissítési mechanizmusokon keresztül frissítsenek, biztosítva a megfelelő helyreállítást. Partnereinkkel együttműködve figyeljük az aláíró tanúsítvány esetleges visszaélésére utaló jeleket, és felgyorsítjuk a visszavonási ütemtervet, ha ebben az időablakban rosszindulatú tevékenységet azonosítunk.
