Kami baru-baru ini mengidentifikasi masalah keamanan yang melibatkan pustaka sumber terbuka yang umum digunakan, TanStack npm, yang merupakan bagian dari serangan yang lebih luas yang dikenal sebagai Mini Shai-Hulud(terbuka di jendela baru). Kami tidak menemukan bukti bahwa data pengguna OpenAI diakses, bahwa sistem produksi atau kekayaan intelektual kami disusupi, atau bahwa perangkat lunak kami diubah.
Kami telah mengambil langkah tegas untuk melindungi data pengguna, sistem, dan kekayaan intelektual kami. Sebagai bagian dari respons kami, kami mengambil langkah untuk melindungi proses yang mensertifikasi aplikasi macOS kami sebagai aplikasi resmi dari OpenAI.
Perbarui aplikasi macOS Anda sebelum 12 Juni 2026
Kami sedang memperbarui sertifikat keamanan kami, yang akan mengharuskan semua pengguna macOS memperbarui aplikasi OpenAI mereka ke versi terbaru. Ini membantu mencegah risiko, meskipun kecil kemungkinannya, adanya seseorang yang mencoba mendistribusikan aplikasi palsu yang tampak berasal dari OpenAI. Anda dapat memperbarui dengan aman melalui pembaruan dalam aplikasi atau di tautan resmi di bawah ini:
Keamanan dan privasi informasi Anda adalah prioritas utama. Kami berkomitmen untuk bersikap transparan dan mengambil tindakan cepat saat masalah muncul. Kami membagikan detail teknis lebih lanjut dan FAQ di bawah ini.
Pada 11 Mei 2026 UTC, TanStack, pustaka open-source yang banyak digunakan, disusupi sebagai bagian dari serangan rantai pasok perangkat lunak yang lebih luas yang dikenal sebagai Mini Shai-Hulud(terbuka di jendela baru).
Dua perangkat karyawan di lingkungan perusahaan kami terdampak oleh serangan ini. Setelah aktivitas berbahaya tersebut teridentifikasi, kami bergerak cepat untuk menyelidiki, membatasi dampak serangan, dan mengambil langkah untuk melindungi sistem kami. Sebagai bagian dari investigasi dan respons kami, kami melibatkan firma forensik digital dan respons insiden pihak ketiga.
Kami mengamati aktivitas yang konsisten dengan perilaku malware yang dijelaskan secara publik, termasuk akses tanpa izin dan aktivitas eksfiltrasi yang berfokus pada kredensial, pada sebagian terbatas repositori kode sumber internal yang dapat diakses oleh dua karyawan yang terdampak. Kami mengonfirmasi bahwa hanya materi kredensial terbatas yang berhasil dieksfiltrasi dari repositori kode ini dan bahwa tidak ada informasi atau kode lain yang terdampak.
Kami segera bertindak untuk membatasi dampak aktivitas tersebut. Kami mengisolasi sistem dan identitas yang terdampak, mencabut sesi pengguna, merotasi semua kredensial di seluruh repositori yang terdampak, membatasi sementara alur kerja penerapan kode, dan menelaah secara menyeluruh perilaku pengguna dan kredensial. Sebagai bagian dari investigasi kami, kami tidak menemukan bukti adanya dampak pada data pelanggan atau kekayaan intelektual kami, dan analisis kami tidak mengidentifikasi penyalahgunaan kredensial yang terdampak atau akses lanjutan oleh pelaku ancaman.
Repositori kode sumber yang terdampak mencakup sertifikat penandatanganan untuk produk kami, termasuk iOS, macOS, dan Windows. Akibatnya, kami merotasi sertifikat penandatanganan kode sebagai tindakan pencegahan, yang akan mengharuskan pengguna macOS memperbarui aplikasi mereka. Pengguna tidak perlu melakukan tindakan apa pun untuk aplikasi Windows dan iOS. Panduan tambahan akan diberikan kepada pengguna macOS terkait pembaruan wajib ini.
Selain merotasi sertifikat, kami berkoordinasi dengan penyedia platform untuk mencegah penggunaan sertifikat ini tanpa izin dengan menghentikan pengesahan baru. Kami juga telah meninjau semua pengesahan perangkat lunak yang menggunakan sertifikat kami sebelumnya untuk mengonfirmasi bahwa tidak ada penandatanganan perangkat lunak tak terduga yang terjadi dengan kunci ini, dan memvalidasi bahwa perangkat lunak yang kami publikasikan tidak mengalami modifikasi tanpa izin. Kami tidak menemukan bukti adanya penyusupan atau risiko terhadap instalasi perangkat lunak yang ada.
Setelah kami sepenuhnya mencabut sertifikat kami pada 12 Juni 2026, unduhan baru dan peluncuran aplikasi yang ditandatangani dengan sertifikat sebelumnya akan diblokir oleh perlindungan keamanan macOS.
Setelah insiden Axios, kami mempercepat penerapan kontrol dan teknologi keamanan tertentu untuk mengurangi dampak serangan rantai pasokan seperti ini. Respons keamanan kami mencakup penguatan lebih lanjut atas materi kredensial sensitif yang digunakan dalam pipeline CI/CD kami, penerapan konfigurasi manajer paket dengan kontrol seperti minimumReleaseAge, dan perangkat lunak keamanan tambahan untuk memvalidasi provenans paket baru.
Insiden ini terjadi selama penerapan dan peluncuran bertahap kontrol-kontrol ini, dan dua perangkat karyawan yang terdampak belum memiliki konfigurasi terbaru yang akan mencegah pengunduhan paket berisi malware yang baru terdeteksi tersebut.
Insiden ini mencerminkan pergeseran yang lebih luas dalam lanskap ancaman: penyerang semakin menargetkan dependensi perangkat lunak bersama dan perangkat pengembangan, alih-alih menargetkan satu perusahaan tertentu. Perangkat lunak modern dibangun di atas ekosistem yang sangat saling terhubung dari pustaka sumber terbuka, manajer paket, serta infrastruktur integrasi berkelanjutan dan penerapan berkelanjutan, yang berarti bahwa kerentanan yang diperkenalkan di hulu dapat menyebar luas dan cepat di berbagai organisasi. Kami terus berinvestasi dalam kontrol yang memvalidasi integritas dan provenans komponen pihak ketiga serta memperkuat pertahanan kami terhadap serangan rantai pasok tingkat ekosistem seperti ini.
Apakah produk OpenAI atau data pengguna disusupi?
Tidak. Kami tidak menemukan bukti bahwa produk OpenAI atau data pengguna disusupi atau terekspos.
Apakah Anda pernah menemukan malware yang ditandatangani sebagai OpenAI?
Tidak. Kami tidak menemukan bukti adanya perangkat lunak berbahaya yang ditandatangani dengan sertifikat OpenAI mana pun.
Apakah saya perlu mengganti kata sandi saya?
Tidak. Kata sandi pelanggan/pengguna dan kunci API tidak terdampak.
Platform apa saja yang terdampak?
Kunci penandatanganan kami untuk Windows, macOS, iOS, dan Android terdampak. Semua aplikasi kami sedang ditandatangani ulang dan dirilis dengan sertifikat baru. Pengguna macOS perlu mengambil tindakan untuk memperbarui sebelum 12 Juni 2026 agar aplikasi tetap berfungsi.
Mengapa Anda meminta saya memperbarui aplikasi Mac saya?
Memperbaruinya memastikan Anda menjalankan versi yang ditandatangani dengan sertifikat terbaru kami. Sertifikat ini membantu pelanggan mengetahui bahwa perangkat lunak berasal dari pengembang yang sah, OpenAI.
Di mana saya dapat mengunduh aplikasi macOS yang telah diperbarui?
Unduh aplikasi OpenAI hanya dari pembaruan dalam aplikasi atau halaman web resmi di bawah ini:
Jangan instal aplikasi dari tautan di email, pesan, iklan, atau situs unduhan pihak ketiga. Waspadai installer “OpenAI”, “ChatGPT”, atau “Codex” yang tidak terduga yang dikirim melalui email, SMS, pesan chat, iklan, tautan berbagi file, atau situs unduhan pihak ketiga.
Apa yang terjadi setelah 12 Juni 2026?
Berlaku mulai 12 Juni 2026, versi lama aplikasi desktop macOS kami tidak lagi akan menerima pembaruan atau dukungan, dan mungkin tidak berfungsi. Versi-versi ini merupakan rilis terakhir yang ditandatangani dengan sertifikat kami yang sudah tidak berlaku lagi:
- ChatGPT Desktop: 1.2026.118
- Aplikasi Codex: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Mengapa Anda tidak langsung mencabut sertifikatnya?
Kami telah berupaya memblokir pengesahan lebih lanjut atas aplikasi macOS dengan materi pengesahan yang terdampak. Ini berarti bahwa aplikasi palsu apa pun yang menyamar sebagai aplikasi OpenAI menggunakan sertifikat yang terdampak tidak akan memiliki pengesahan, dan karena itu akan diblokir secara default oleh perlindungan keamanan macOS kecuali pengguna secara eksplisit melewati perlindungan tersebut. Karena pengesahan baru dengan sertifikat sebelumnya diblokir, dan karena pencabutan dapat menyebabkan macOS memblokir unduhan baru dan peluncuran pertama aplikasi yang ditandatangani dengan sertifikat sebelumnya, kami memberi pengguna kami waktu hingga 12 Juni 2026 untuk memperbarui guna meminimalkan gangguan. Jangka waktu ini akan membantu meminimalkan risiko bagi pengguna dan memungkinkan klien yang terdampak memperbarui melalui mekanisme pembaruan bawaan, sehingga memastikan mereka ditangani dengan semestinya. Kami bekerja sama dengan mitra kami untuk memantau indikator penyalahgunaan sertifikat penandatanganan, dan akan mempercepat jadwal pencabutan jika kami mengidentifikasi aktivitas berbahaya selama periode ini.
