Bubar iki, kita ngenali masalah keamanan sing nglibataké pustaka open-source umum, TanStack npm, sing dadi bagéan saka serangan sing luwih jembar sing dikenal minangka Mini Shai-Hulud(mbukak ing jendhela anyar). Kita ora nemokake bukti manawa data pangguna OpenAI wis diakses, manawa sistem produksi utawa kekayaan intelektual kita wis kebobolan, utawa manawa piranti lunak kita wis diowahi.
Kita wis njupuk langkah-langkah tegas kanggo nglindhungi data pangguna kita, sistem, lan properti intelektual kita. Minangka bagean saka tanggapan kita, kita njupuk langkah-langkah kanggo nglindhungi proses sing ngesahake manawa aplikasi macOS kita minangka aplikasi OpenAI sing resmi.
Anyari aplikasi macOS njenengan paling telat 12 Juni 2026
Kita lagi nganyari sertifikat keamanan, sing bakal mbutuhake kabeh pangguna macOS supaya nganyari aplikasi OpenAI menyang versi paling anyar. Iki mbantu nyegah risiko apa wae, sanajan kemungkinané cilik banget, saka wong sing nyoba nyebarake aplikasi palsu sing katon kaya saka OpenAI. Njenengan bisa nganyari kanthi aman liwat nganyari saka njero aplikasi utawa liwat pranala resmi ing ngisor iki:
Keamanan lan privasi informasi panjenengan dadi prioritas utama. Kita nduwé komitmen kanggo transparan lan tumindak kanthi cepet nalika ana masalah. Kita nuduhake rincian teknis tambahan lan FAQ ing ngisor iki.
Ing tanggal 11 Mei 2026 UTC, TanStack, pustaka sumber terbuka sing akeh digunakake, kebobolan minangka bagean saka serangan rantai pasokan piranti lunak sing luwih amba sing dikenal minangka Mini Shai-Hulud(mbukak ing jendhela anyar).
Rong piranti karyawan ing lingkungan perusahaan kita kena pengaruh saka serangan iki. Sawisé aktivitas mbebayani kasebut diidentifikasi, kita kanthi cepet nyelidiki, mbatesi panyebarane, lan njupuk langkah kanggo nglindhungi sistem kita. Minangka bagean saka investigasi lan respons kita, kita nglibatake perusahaan pihak katelu ing bidang forensik digital lan tanggapan insiden.
Kita ngamati aktivitas sing selaras karo prilaku malware sing wis dijlentrehake marang publik, kalebu akses tanpa wewenang lan aktivitas eksfiltrasi sing fokus marang kredensial, ing subset winates saka repositori kode sumber internal sing bisa diakses dening loro karyawan sing kena dampak. Kita wis ngonfirmasi manawa mung materi kredensial winates sing kasil dieksfiltrasi saka repositori kode kasebut, lan ora ana informasi utawa kode liyane sing kena pengaruh.
Kita langsung njupuk tindakan kanggo ngendhaleni aktivitas kasebut. Kita wis ngisolasi sistem lan identitas sing kena dampak, mbatalake sesi pangguna, ngganti kabeh kredensial ing repositori sing kena dampak, mbatesi sauntara alur kerja panyebaran kode, lan mriksa kanthi tliti prilaku pangguna lan kredensial. Minangka bagean saka investigasi kami, kita ora nemokake bukti yen ana dampak marang data pelanggan utawa hak kekayaan intelektual kita, lan analisis kita uga ora nemokake penyalahgunaan kredensial sing kena pengaruh utawa akses lanjutan saka pelaku ancaman.
Repositori kode sumber sing kena dampak ngemot sertifikat penandatanganan kanggo produk-produk kita, kalebu iOS, macOS, lan Windows. Mula, minangka langkah pancegahan, kita lagi ngerotasi sertifikat penandatanganan kode, sing bakal mbutuhake pangguna macOS kanggo nganyari aplikasi. Pangguna ora perlu nindakake tumindak apa wae kanggo aplikasi Windows lan iOS. Pandhuan tambahan bakal diwenehake marang pangguna macOS babagan nganyari sing dibutuhake iki.
Saliyane nindakake rotasi sertifikat, kita uga koordinasi karo panyedhiya platform kanggo nyegah panggunaan sertifikat kasebut tanpa wewenang kanthi mungkasi notarisasi anyar. Kita uga wis mriksa kabèh notarisasi piranti lunak sing nganggo sertifikat sadurungé kita kanggo mesthekake manawa ora ana penandatanganan piranti lunak sing ora dikarepaké nganggo kunci-kunci iki, lan wis validasi manawa piranti lunak sing kita terbitaké ora ngalami modifikasi tanpa wewenang. Kita ora nemokake bukti anané kompromi keamanan utawa risiko marang instalasi piranti lunak sing wis ana.
Sawise kita mbatalake sertifikat kanthi lengkap ing 12 Juni 2026, pangundhuhan anyar lan peluncuran aplikasi sing ditandatangani nganggo sertifikat sadurunge bakal diblokir dening perlindungan keamanan macOS.
Sawisé insiden Axios, kita nyepetaké penerapan kontrol keamanan lan teknologi tartamtu kanggo nyuda dampak saka serangan ranté pasokan kaya iki. Tanggapan keamanan kita nyakup penguatan luwih lanjut marang materi kredensial sensitif sing digunakake ing pipeline CI/CD kita, penerapan konfigurasi manajer paket kanthi kontrol kayata minimumReleaseAge, lan piranti lunak keamanan tambahan kanggo validasi asal-usul paket anyar.
Insiden iki kedadeyan sajrone proses deployment lan rollout kontrol kasebut kanthi bertahap, lan loro piranti karyawan sing kena dampak durung nduwèni konfigurasi sing wis dianyari sing mesthine bisa nyegah pangundhuhan paket sing mentas dideteksi ngemot malware.
Insiden iki nggambarake owah-owahan sing luwih jembar ing lanskap ancaman: para panyerang saya kerep nargetake dependensi piranti lunak sing dienggo bareng lan alat pangembangan, tinimbang perusahaan tartamtu wae. Piranti lunak modhèrn dibangun ing ndhuwur ekosistem sing saling gegandhengan kanthi jero, kalebu pustaka sumber terbuka, pangatur paket, lan infrastruktur integrasi kontinu lan penerapan kontinu, sing tegese kerentanan sing ditepungake saka hulu bisa nyebar kanthi amba lan cepet ing antarane organisasi. Kita terus nandur modal ing kontrol sing mvalidasi integritas lan asal-usul komponen pihak katelu, uga kanggo nguwatake pertahanan kita nglawan jinis-jinis serangan ranté pasokan tingkat ekosistem kaya mangkene.
Apa produk OpenAI utawa data pangguna wis kebobolan?
Ora. Kita ora nemokake bukti manawa produk OpenAI utawa data pangguna wis kebobolan utawa kabukak.
Apa njenengan tau weruh malware sing ditandatangani nganggo asmané OpenAI?
Ora. Kita ora nemokake bukti manawa piranti lunak angkoro wis ditandatangani nganggo salah siji wae saka sertifikat OpenAI.
Apa kula perlu ngganti tembung sandhi kula?
Ora. Tembung sandi pelanggan/pangguna lan kunci API ora kena pengaruh.
Iki mengaruhi platform apa wae?
Kunci panandhatanganan kita kanggo Windows, macOS, iOS, lan Android kena dampak. Kabeh aplikasi kita lagi ditandatangani maneh lan dirilis nganggo sertifikat anyar. Pangguna macOS kudu tumindak kanggo nganyari paling telat 12 Juni 2026 supaya aplikasi tetep bisa mlaku.
Napa njenengan njaluk kula nganyari aplikasi Mac kula?
Nganyari mesthekake manawa njenengan nggunakake versi sing ditandatangani nganggo sertifikat paling anyar saka kita. Sertifikat iki mbantu pelanggan ngerti manawa piranti lunak kasebut asalé saka pangembang sing sah, OpenAI.
Ing endi aku bisa ngundhuh aplikasi macOS sing dianyari?
Mung undhuh aplikasi OpenAI saka nganyari ing njero aplikasi utawa kaca web resmi ing ngisor iki:
Aja nginstal aplikasi saka pranala ing email, pesen, iklan, utawa situs undhuhan pihak katelu. Waspadha marang installer “OpenAI,” “ChatGPT,” utawa “Codex” sing ora dikarepake sing dikirim liwat email, pesen teks, pesen chat, iklan, pranala enggo bareng berkas, utawa situs undhuhan pihak katelu.
Apa sing kedadeyan sawise 12 Juni 2026?
Wiwit 12 Juni 2026, versi lawas aplikasi desktop macOS kita ora bakal nampa pembaruan utawa dhukungan maneh, lan bisa uga ora bisa digunakake. Versi-versi iki makili rilis pungkasan sing ditandatangani nganggo sertifikat lawas kita:
- ChatGPT Desktop: 1.2026.118
- Aplikasi Codex: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Napa njenengan ora langsung mbatalake sertifikat kasebut?
Kita wis ngupaya kanggo mblokir notarisasi luwih lanjut kanggo aplikasi macOS sing nganggo materi notarisasi sing kena pengaruh. Iki tegesé manawa aplikasi apus-apus apa wae sing nyamar dadi aplikasi OpenAI kanthi nggunakake sertifikat sing kena dampak ora bakal nduwèni notarisasi, mula bakal diblokir kanthi gawan déning pangayoman keamanan macOS kajaba pangguna kanthi cetha ngliwati pangayoman kasebut. Amarga notarisasi anyar nganggo sertifikat sadurunge diblokir, lan amarga pencabutan kasebut bisa njalari macOS mblokir undhuhan anyar lan pambukakan sepisanan aplikasi sing ditandatangani nganggo sertifikat sadurunge, kita menehi wektu marang panganggo nganti 12 Juni 2026 kanggo nganyari supaya gangguan bisa diminimalake. Jendhela wektu iki bakal mbantu nyilikake risiko pangguna lan ngidini klien sing kena dampak nganyari liwat mekanisme nganyari bawaan, supaya bisa ditangani kanthi trep. Kita makarya bebarengan karo para mitra kanggo ngawasi manawa ana indikator panyalahgunaan sertifikat penandatanganan, lan bakal nyepetake jadwal pencabutan yen kita ngenali aktivitas jahat sajrone periode iki.
