Վերջերս մենք հայտնաբերեցինք անվտանգության խնդիր, որը կապված է TanStack npm բաց կոդով գրադարանի հետ, որն ավելի լայն հարձակման մաս է և հայտնի է որպես Mini Shai-Hulud(բացվում է նոր պատուհանում)։ Մենք որևէ ապացույց չենք գտել, որ OpenAI-ի օգտատերերի տվյալներին հասանելիություն է եղել, որ մեր արտադրական համակարգերը կամ մտավոր սեփականությունը վտանգվել են, կամ որ մեր ծրագրային ապահովումը փոփոխվել է։
Մենք վճռական քայլեր ենք ձեռնարկել՝ պաշտպանելու մեր օգտատերերի տվյալները, համակարգերը և մտավոր սեփականությունը։ Մեր արձագանքի շրջանակում մենք քայլեր ենք ձեռնարկում՝ պաշտպանելու այն գործընթացը, որը հավաստում է, որ մեր macOS հավելվածները OpenAI-ի օրինական հավելվածներ են։
Թարմացրեք ձեր macOS հավելվածները մինչև 2026 թվականի հունիսի 12-ը
Մենք թարմացնում ենք մեր անվտանգության վկայագրերը, ինչի պատճառով macOS-ի բոլոր օգտատերերը պետք է թարմացնեն իրենց OpenAI հավելվածները մինչև վերջին տարբերակները։ Սա օգնում է կանխել ցանկացած ռիսկ, որքան էլ այն քիչ հավանական լինի, որ ինչ-որ մեկը փորձի տարածել կեղծ հավելված, որը թվում է՝ OpenAI-ից է։ Դուք կարող եք անվտանգ թարմացնել հավելվածի ներսում թարմացման միջոցով կամ ստորև նշված պաշտոնական հղումներով՝
Ձեր տեղեկատվության անվտանգությունն ու գաղտնիությունը մեր գլխավոր առաջնահերթություններից են։ Մենք հանձնառու ենք լինել թափանցիկ և խնդիրների առաջացման դեպքում արագ գործել։ Ստորև ներկայացնում ենք ավելի շատ տեխնիկական մանրամասներ և հաճախ տրվող հարցեր։
2026 թվականի մայիսի 11-ին (UTC) լայնորեն օգտագործվող բաց կոդով TanStack գրադարանը վտանգվել է որպես Mini Shai-Hulud անունով ավելի լայն ծրագրային մատակարարման շղթայի հարձակման մաս(բացվում է նոր պատուհանում)։
Մեր կորպորատիվ միջավայրում երկու աշխատակցի սարք է տուժել այս հարձակումից։ Վնասակար ակտիվությունը հայտնաբերելուց հետո մենք արագ աշխատեցինք՝ հետաքննելու, զսպելու և մեր համակարգերը պաշտպանելու քայլեր ձեռնարկելու ուղղությամբ։ Մեր հետաքննության և արձագանքի շրջանակում մենք ներգրավեցինք երրորդ կողմի թվային դատաբժշկական և միջադեպերի արձագանքման ընկերություն։
Մենք նկատել ենք ակտիվություն, որը համապատասխանում է չարամիտ ծրագրի հանրայնորեն նկարագրված վարքագծին, ներառյալ չարտոնված հասանելիությունն ու հավատարմագրերի արտահոսքին ուղղված գործողությունները, ներքին սկզբնաղբյուրի կոդի պահոցների սահմանափակ ենթաբազմությունում, որոնց հասանելիություն ունեին այդ երկու տուժած աշխատակիցները։ Մենք հաստատել ենք, որ այդ կոդի պահոցներից հաջողությամբ արտահոսել է միայն սահմանափակ ծավալի հավատարմագրային նյութ, և որ որևէ այլ տեղեկատվություն կամ կոդ չի տուժել։
Մենք անմիջապես գործեցինք՝ ակտիվությունը զսպելու համար։ Մենք մեկուսացրինք տուժած համակարգերն ու ինքնությունները, չեղարկեցինք օգտատերերի աշխատաշրջանները, փոխարինեցինք բոլոր հավատարմագրերը տուժած պահոցներում, ժամանակավորապես սահմանափակեցինք կոդի տեղակայման աշխատանքային հոսքերը և մանրակրկիտ ուսումնասիրեցինք օգտատերերի ու հավատարմագրերի վարքագիծը։ Հետաքննության շրջանակում մենք չենք նկատել հաճախորդների տվյալների կամ մեր մտավոր սեփականության վրա ազդեցության ապացույցներ, և մեր վերլուծությունը չի հայտնաբերել տուժած հավատարմագրերի չարաշահում կամ սպառնալիքի դերակատարի հետագա հասանելիություն։
Տուժած սկզբնաղբյուրի կոդի պահոցները ներառում էին մեր արտադրանքների, այդ թվում՝ iOS, macOS և Windows տարբերակների ստորագրման վկայագրերը։ Արդյունքում, որպես նախազգուշական միջոց, մենք փոխարինում ենք կոդի ստորագրման վկայագրերը, ինչը macOS օգտատերերից կպահանջի թարմացնել իրենց հավելվածները։ Windows և iOS հավելվածների համար օգտատերերից որևէ գործողություն չի պահանջվում։ macOS օգտատերերին լրացուցիչ ուղեցույց կտրամադրվի այս պարտադիր թարմացումների վերաբերյալ։
Բացի վկայագրերի փոխարինումից, մենք համակարգում ենք աշխատանքը հարթակների մատակարարների հետ՝ կանխելու այս վկայագրերի ցանկացած չարտոնված օգտագործումը՝ դադարեցնելով նոր նոտարական հաստատումները։ Մենք նաև վերանայել ենք մեր նախորդ վկայագրերով ծրագրային ապահովման բոլոր նոտարական հաստատումները՝ համոզվելու, որ այս բանալիներով ծրագրային ապահովման որևէ անսպասելի ստորագրում տեղի չի ունեցել, և հաստատել ենք, որ մեր հրապարակված ծրագրային ապահովումը չի ունեցել չարտոնված փոփոխություններ։ Մենք որևէ ապացույց չենք գտել գործող ծրագրային տեղադրումների վտանգման կամ դրանց համար ռիսկի մասին։
Երբ 2026 թվականի հունիսի 12-ին մենք ամբողջությամբ չեղարկենք մեր վկայագիրը, նախորդ վկայագրով ստորագրված հավելվածների նոր ներբեռնումներն ու գործարկումները կարգելափակվեն macOS-ի անվտանգության պաշտպանություններով։
Axios միջադեպից հետո մենք արագացրինք անվտանգության կոնկրետ վերահսկման մեխանիզմների և տեխնոլոգիաների ներդրումը՝ նվազեցնելու մատակարարման շղթայի այնպիսի հարձակումների ազդեցությունը, ինչպիսին այս մեկն էր։ Մեր անվտանգության արձագանքը ներառում էր մեր CI/CD հայտնաբերման խողովակաշարում օգտագործվող զգայուն հավատարմագրային նյութերի լրացուցիչ ամրապնդում, minimumReleaseAge-ի նման վերահսկումներով փաթեթների կառավարչի կարգավորումների ներդրում և նոր փաթեթների ծագումը վավերացնելու լրացուցիչ անվտանգության ծրագրային ապահովում։
Այս միջադեպը տեղի ունեցավ այս վերահսկումների փուլային ներդրման և տարածման ընթացքում, և տուժած երկու աշխատակցի սարքերը չունեին թարմացված կարգավորումները, որոնք կկանխեին չարամիտ ծրագիր պարունակող նոր հայտնաբերված փաթեթի ներբեռնումը։
Այս միջադեպը արտացոլում է սպառնալիքների դաշտի ավելի լայն փոփոխություն․ հարձակվողներն գնալով ավելի շատ են թիրախավորում ընդհանուր ծրագրային կախվածություններն ու մշակման գործիքակազմը, այլ ոչ թե որևէ առանձին ընկերություն։ Ժամանակակից ծրագրային ապահովումը կառուցվում է բաց կոդով գրադարանների, փաթեթների կառավարիչների և շարունակական ինտեգրման ու շարունակական տեղակայման ենթակառուցվածքի խորը փոխկապակցված էկոհամակարգի վրա, ինչը նշանակում է, որ վերին շերտում ներմուծված խոցելիությունը կարող է լայնորեն և արագ տարածվել կազմակերպությունների միջև։ Մենք շարունակում ենք ներդրումներ կատարել վերահսկումներում, որոնք վավերացնում են երրորդ կողմի բաղադրիչների ամբողջականությունն ու ծագումը, և ամրապնդում ենք մեր պաշտպանությունը էկոհամակարգի մակարդակի այսպիսի մատակարարման շղթայի հարձակումների դեմ։
Արդյոք OpenAI-ի արտադրանքները կամ օգտատերերի տվյալները վտանգվե՞լ են։
Ոչ։ Մենք որևէ ապացույց չենք գտել, որ OpenAI-ի արտադրանքները կամ օգտատերերի տվյալները վտանգվել կամ բացահայտվել են։
Տեսե՞լ եք OpenAI-ի անունով ստորագրված չարամիտ ծրագիր։
Ոչ։ Մենք որևէ ապացույց չենք գտել, որ չարամիտ ծրագրային ապահովում ստորագրվել է OpenAI-ի որևէ վկայագրով։
Արդյոք պե՞տք է փոխեմ իմ գաղտնաբառը։
Ոչ։ Հաճախորդների/օգտատերերի գաղտնաբառերը և API բանալիները չեն տուժել։
Ո՞ր հարթակների վրա է սա ազդում։
Տուժել են Windows, macOS, iOS և Android հարթակների համար մեր ստորագրման բանալիները։ Մեր բոլոր հավելվածները վերաստորագրվում և թողարկվում են նոր վկայագրերով։ macOS օգտատերերը պետք է մինչև 2026 թվականի հունիսի 12-ը թարմացնեն հավելվածները, որպեսզի դրանք շարունակեն գործել։
Ինչո՞ւ եք խնդրում թարմացնել իմ Mac հավելվածները։
Թարմացումը երաշխավորում է, որ դուք օգտագործում եք մեր վերջին վկայագրով ստորագրված տարբերակները։ Այս վկայագիրը օգնում է հաճախորդներին իմանալ, որ ծրագրային ապահովումը գալիս է օրինական մշակողից՝ OpenAI-ից։
Որտե՞ղ ներբեռնեմ թարմացված macOS հավելվածները։
OpenAI հավելվածները ներբեռնեք միայն հավելվածի ներսում թարմացումների միջոցով կամ ստորև նշված պաշտոնական կայքէջերից՝
Մի տեղադրեք հավելվածներ էլփոստերի, հաղորդագրությունների, գովազդների կամ երրորդ կողմի ներբեռնման կայքերի հղումներից։ Զգուշացեք էլփոստով, SMS-ով, չաթի հաղորդագրություններով, գովազդներով, ֆայլերի փոխանակման հղումներով կամ երրորդ կողմի ներբեռնման կայքերով ուղարկված անսպասելի «OpenAI», «ChatGPT» կամ «Codex» տեղադրիչներից։
Ի՞նչ կլինի 2026 թվականի հունիսի 12-ից հետո։
2026 թվականի հունիսի 12-ից մեր macOS աշխատասեղանի հավելվածների հին տարբերակներն այլևս չեն ստանա թարմացումներ կամ աջակցություն և կարող են չգործել։ Այս տարբերակները մեր հնացած վկայականով ստորագրված վերջին թողարկումներն են՝
- ChatGPT Desktop: 1.2026.118
- Codex հավելված: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Ինչո՞ւ անմիջապես չեք չեղարկում վկայագիրը։
Մենք աշխատել ենք արգելափակելու տուժած նոտարական նյութով macOS հավելվածների ցանկացած հետագա նոտարական հաստատում։ Սա նշանակում է, որ OpenAI հավելված ձևացող ցանկացած կեղծ հավելված, որն օգտագործում է տուժած վկայագիրը, չի ունենա նոտարական հաստատում և, հետևաբար, լռելյայն կարգելափակվի macOS-ի անվտանգության պաշտպանություններով, եթե օգտատերը բացահայտորեն չշրջանցի այդ պաշտպանությունները։ Քանի որ նախորդ վկայագրով նոր նոտարական հաստատումը արգելափակված է, և քանի որ չեղարկումը կարող է հանգեցնել նրան, որ macOS-ը արգելափակի նախորդ վկայագրով ստորագրված հավելվածների նոր ներբեռնումներն ու առաջին գործարկումները, մենք մեր օգտատերերին մինչև 2026 թվականի հունիսի 12-ը ժամանակ ենք տալիս թարմացնելու համար՝ խափանումները նվազագույնի հասցնելու նպատակով։ Այս ժամանակահատվածը կօգնի նվազեցնել օգտատերերի ռիսկը և թույլ կտա տուժած հաճախորդներին թարմացվել ներկառուցված թարմացման մեխանիզմների միջոցով՝ ապահովելով պատշաճ շտկում։ Մենք աշխատում ենք մեր գործընկերների հետ՝ հետևելու ստորագրման վկայագրի չարաշահման ցանկացած ցուցիչի, և կարագացնենք չեղարկման ժամանակացույցը, եթե այս ժամանակահատվածում հայտնաբերենք չարամիտ ակտիվություն։
