ჩვენ ახლახან გამოვავლინეთ უსაფრთხოების პრობლემა, რომელიც უკავშირდება ფართოდ გამოყენებულ ღია კოდის ბიბლიოთეკას, TanStack npm-ს, და არის უფრო ფართო შეტევის ნაწილი, რომელიც ცნობილია როგორც Mini Shai-Hulud(იხსნება ახალ ფანჯარაში). ჩვენ არ აღმოგვიჩენია მტკიცებულება იმისა, რომ მოხდა OpenAI-ს მომხმარებელთა მონაცემებზე წვდომა, ჩვენი საწარმოო სისტემების ან ინტელექტუალური საკუთრების კომპრომეტირება, ან ჩვენი პროგრამული უზრუნველყოფის შეცვლა.
ჩვენ გადავდგით გადამწყვეტი ნაბიჯები ჩვენი მომხმარებლების მონაცემების, სისტემებისა და ინტელექტუალური საკუთრების დასაცავად. საპასუხო ზომების ფარგლებში, ჩვენ ვდგამთ ნაბიჯებს იმ პროცესის დასაცავად, რომელიც ადასტურებს, რომ ჩვენი macOS აპლიკაციები ნამდვილად OpenAI-ს ოფიციალური აპებია.
განაახლეთ თქვენი macOS აპლიკაციები არაუგვიანეს 2026 წლის 12 ივნისისა
ჩვენ ვაახლებთ ჩვენს უსაფრთხოების სერტიფიკატებს, რის გამოც macOS-ის ყველა მომხმარებელს მოუწევს OpenAI-ის აპების უახლეს ვერსიებზე განახლება. ეს ხელს უწყობს ნებისმიერი, თუნდაც ნაკლებსავარაუდო, რისკის თავიდან აცილებას, რომ ვინმემ სცადოს ყალბი აპის გავრცელება, რომელიც თითქოს OpenAI-სგან არის. უსაფრთხოდ განახლება შეგიძლიათ აპში ჩაშენებული განახლების საშუალებით ან ქვემოთ მოცემული ოფიციალური ბმულებიდან:
თქვენი ინფორმაციის უსაფრთხოება და კონფიდენციალურობა უმთავრესი პრიორიტეტია. ჩვენ ვიღებთ ვალდებულებას, ვიყოთ გამჭვირვალე და პრობლემების წარმოქმნისას სწრაფი ზომები მივიღოთ. ქვემოთ გიზიარებთ დამატებით ტექნიკურ დეტალებს და ხშირად დასმულ კითხვებს.
2026 წლის 11 მაისს, UTC დროით, TanStack, ფართოდ გამოყენებული ღია კოდის ბიბლიოთეკა, კომპრომეტირებული იქნა პროგრამული უზრუნველყოფის მიწოდების ჯაჭვზე ფართო მასშტაბის თავდასხმის ფარგლებში, რომელიც ცნობილია როგორც Mini Shai-Hulud(იხსნება ახალ ფანჯარაში).
ჩვენს კორპორატიულ გარემოში ორი თანამშრომლის მოწყობილობა დაზარალდა ამ თავდასხმის შედეგად. მავნე აქტივობის გამოვლენისთანავე, ჩვენ სწრაფად ვიმოქმედეთ მის გამოსაძიებლად, ლოკალიზებისთვის და ჩვენი სისტემების დასაცავად. ჩვენი გამოძიებისა და რეაგირების ფარგლებში,ჩავრთეთ მესამე მხარის ციფრული ექსპერტიზისა და ინციდენტებზე რეაგირების კომპანია.
ჩვენ დავაფიქსირეთ აქტივობა, რომელიც შეესაბამება მავნე პროგრამის საჯაროდ აღწერილ ქცევას, მათ შორის უნებართვო წვდომასა და ავტორიზაციის მონაცემებზე ორიენტირებულ ექსფილტრაციის აქტივობას, შიდა წყაროს კოდის რეპოზიტორიუმების შეზღუდულ ქვეჯგუფში, რომლებზეც წვდომა ჰქონდათ ორ დაზარალებულ თანამშრომელს. ჩვენ დავადასტურეთ, რომ ამ კოდის რეპოზიტორიუმებიდან წარმატებით ექსფილტრირებული იყო მხოლოდ ავტორიზაციის მონაცემების შეზღუდული მასალა და რომ სხვა ინფორმაციაზე ან კოდზე ზემოქმედება არ მომხდარა.
ჩვენ დაუყოვნებლივ ვიმოქმედეთ აქტივობის შესაკავებლად. ზეგავლენის ქვეშ მოქცეული სისტემები და იდენტობები იზოლაციაში მოვაქციეთ, მომხმარებლის სესიები გავაუქმეთ, ზეგავლენის ქვეშ მოქცეულ რეპოზიტორიუმებში ყველა ავტორიზაციის მონაცემი შევცვალეთ, კოდის განთავსების სამუშაო პროცესები დროებით შევზღუდეთ და მომხმარებლებისა და ავტორიზაციის მონაცემების ქცევა საფუძვლიანად შევამოწმეთ. ჩვენი გამოძიების ფარგლებში, არ დაგვიფიქსირებია მომხმარებელთა მონაცემებზე ან ჩვენს ინტელექტუალურ საკუთრებაზე ზემოქმედების მტკიცებულება, და ჩვენს ანალიზს არ გამოუვლენია დაზარალებული ავტორიზაციის მონაცემების ბოროტად გამოყენება ან საფრთხის აქტორის მიერ შემდგომი წვდომა.
ზემოქმედების ქვეშ მოხვედრილი საწყისი კოდის რეპოზიტორიუმები შეიცავდა ჩვენი პროდუქტებისთვის განკუთვნილ ხელმოწერის სერტიფიკატებს, მათ შორის iOS-ისთვის, macOS-ისთვის და Windows-ისთვის. შედეგად, პრევენციის მიზნით, ჩვენ ვანახლებთ (როტაციას ვუტარებთ) კოდის ხელმოწერის სერტიფიკატებს, რაც macOS-ის მომხმარებლებისგან აპლიკაციების განახლებას მოითხოვს. Windows-ისა და iOS-ის აპებისთვის მომხმარებლებს რაიმე ქმედების განხორციელება არ სჭირდებათ. macOS-ის მომხმარებლებს მიეწოდებათ დამატებითი მითითებები ამ სავალდებულო განახლებებთან დაკავშირებით.
სერტიფიკატების როტაციის გარდა, ჩვენ ვთანამშრომლობთ პლატფორმის პროვაიდერებთან, რათა ახალი ნოტარიზაციების შეჩერების გზით თავიდან ავიცილოთ ამ სერტიფიკატების ნებისმიერი არაავტორიზებული გამოყენება. ჩვენ ასევე გადავამოწმეთ ჩვენი წინა სერტიფიკატების გამოყენებით შესრულებული პროგრამული უზრუნველყოფის ყველა ნოტარიზაცია, რათა დაგვედასტურებინა, რომ ამ გასაღებებით პროგრამული უზრუნველყოფის მოულოდნელი ხელმოწერა არ მომხდარა, და დავადასტურეთ, რომ ჩვენს გამოქვეყნებულ პროგრამულ უზრუნველყოფას უნებართვო ცვლილებები არ ჰქონია. ჩვენ არ აღმოგვიჩენია რაიმე მტკიცებულება, რომელიც არსებული პროგრამული უზრუნველყოფის ინსტალაციების კომპრომეტირებაზე ან მათთვის რისკის არსებობაზე მიუთითებს.
მას შემდეგ, რაც 2026 წლის 12 ივნისს ჩვენს სერტიფიკატს სრულად გავაუქმებთ, წინა სერტიფიკატით ხელმოწერილი აპების ახალი ჩამოტვირთვები და გაშვებები macOS-ის უსაფრთხოების მექანიზმებით დაიბლოკება.
Axios-ის ინციდენტის შემდეგ, დავაჩქარეთ კონკრეტული უსაფრთხოების კონტროლის მექანიზმებისა და ტექნოლოგიების დანერგვა, რათა შეგვემცირებინა ამგვარი მიწოდების ჯაჭვის შეტევების გავლენა. ჩვენი უსაფრთხოების რეაგირება მოიცავდა ჩვენს CI/CD კონვეიერში გამოყენებული სენსიტიური საკრედენციო მასალების დამატებით გამყარებას, პაკეტების მენეჯერის ისეთი კონფიგურაციების დანერგვას, რომლებიც მოიცავს minimumReleaseAge-ის მსგავს კონტროლის მექანიზმებს, და დამატებით უსაფრთხოების პროგრამულ უზრუნველყოფას ახალი პაკეტების წარმოშობის გადასამოწმებლად.
ეს ინციდენტი მოხდა ამ კონტროლის მექანიზმების ეტაპობრივი დანერგვისა და გავრცელების პროცესში, ხოლო თანამშრომლების ორ დაზარალებულ მოწყობილობას არ ჰქონდა განახლებული კონფიგურაციები, რომლებიც ხელს შეუშლიდა ახლად დაფიქსირებული, მავნე პროგრამული უზრუნველყოფის შემცველი პაკეტის ჩამოტვირთვას.
ეს ინციდენტი ასახავს საფრთხეების ლანდშაფტში უფრო ფართო ცვლილებას: თავდამსხმელები სულ უფრო მეტად უმიზნებენ საერთო პროგრამულ დამოკიდებულებებსა და განვითარების ინსტრუმენტებს, და არა რომელიმე ცალკეულ კომპანიას. თანამედროვე პროგრამული უზრუნველყოფა აგებულია ღია კოდის ბიბლიოთეკების, პაკეტების მენეჯერებისა და უწყვეტი ინტეგრაციისა და განთავსების ინფრასტრუქტურის ღრმად ურთიერთდაკავშირებულ ეკოსისტემაზე, რაც ნიშნავს, რომ ზედა წყაროში შეტანილი მოწყვლადობა შეიძლება ფართოდ და სწრაფად გავრცელდეს ორგანიზაციებში. ჩვენ ვაგრძელებთ ინვესტირებას იმ კონტროლის მექანიზმებში, რომლებიც ადასტურებს მესამე მხარის კომპონენტების კეთილსინდისიერებას და წარმომავლობას. ასევე, ვაძლიერებთ ჩვენს თავდაცვის სისტემებს ეკოსისტემის დონეზე არსებული მსგავსი ტიპის „მიწოდების ჯაჭვის“ შეტევების წინააღმდეგ.
იქნა თუ არა კომპრომეტირებული OpenAI-ის პროდუქტები ან მომხმარებელთა მონაცემები?
არა. ჩვენ არ გვიპოვია მტკიცებულება, რომ OpenAI-ის პროდუქტები ან მომხმარებელთა მონაცემები კომპრომეტირებული ან გამჟღავნებული იყო.
აღმოაჩინეთ თუ არა OpenAI-ის სახელით დამოწმებული მავნე პროგრამა?
არა. ჩვენ არ აღმოგვიჩენია მტკიცებულება, რომ მავნე პროგრამული უზრუნველყოფა OpenAI-ის რომელიმე სერტიფიკატით ყოფილიყო დამოწმებული.
მჭირდება თუ არა პაროლის შეცვლა?
არა. კლიენტების/მომხმარებლების პაროლები და API გასაღებები არ დაზარალებულა.
რომელ პლატფორმებზე ახდენს ეს გავლენას?
დაზარალდა ჩვენი Windows-ის, macOS-ის, iOS-ისა და Android-ისთვის განკუთვნილი ხელმოწერის გასაღებები. ჩვენი ყველა აპლიკაცია ხელახლა იწერება და ახალი სერტიფიკატებით გამოიცემა. macOS-ის მომხმარებლებს 2026 წლის 12 ივნისამდე აპლიკაციების განახლება დასჭირდებათ, რათა მათ მუშაობა განაგრძონ.
რატომ მთხოვთ ჩემი Mac-ის აპების განახლებას?
განახლება უზრუნველყოფს, რომ იყენებთ ჩვენი უახლესი სერტიფიკატით ხელმოწერილ ვერსიებს. ეს სერტიფიკატი მომხმარებლებს ეხმარება გაიგონ, რომ პროგრამული უზრუნველყოფა ლეგიტიმური დეველოპერისგან, OpenAI-სგან, მოდის.
საიდან შემიძლია განახლებული macOS აპების ჩამოტვირთვა?
ჩამოტვირთეთ OpenAI-ის აპები მხოლოდ აპში არსებული განახლებებიდან ან ქვემოთ მითითებული ოფიციალური ვებგვერდებიდან:
ნუ დააინსტალირებთ აპებს ელფოსტაში, შეტყობინებებში, რეკლამებში ან მესამე მხარის ჩამოტვირთვის საიტებზე მოცემული ბმულებიდან. გამოიჩინეთ სიფრთხილე „OpenAI-ს“, „ChatGPT‑ის“ ან „Codex-ის“ უჩვეულო საინსტალაციო ფაილების მიმართ, რომლებიც შესაძლოა მიიღოთ ელექტრონული ფოსტით, ტექსტური შეტყობინებით, ჩატით, რეკლამით, ფაილების გაზიარების ბმულებით ან მესამე მხარის ვებგვერდებიდან.
რა მოხდება 2026 წლის 12 ივნისის შემდეგ?
2026 წლის 12 ივნისიდან, ჩვენი macOS დესკტოპ აპლიკაციების ძველი ვერსიები აღარ მიიღებს განახლებებს ან მხარდაჭერას და შესაძლოა შეწყვიტოს ფუნქციონირება. ეს ვერსიები წარმოადგენს ბოლო გამოშვებებს, რომლებიც ხელმოწერილია ჩვენი ძველი სერტიფიკატით:
- ChatGPT Desktop: 1.2026.118
- Codex აპი: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
რატომ არ აუქმებთ სერტიფიკატს დაუყოვნებლივ?
ჩვენ მივიღეთ ზომები, რომ დაგვებლოკა macOS-ის აპლიკაციების ნებისმიერი შემდგომი ნოტარიზაცია იმ მასალების გამოყენებით, რომლებიც ამ ინციდენტის დროს დაზარალდა. ეს ნიშნავს, რომ ნებისმიერი თაღლითური აპი, რომელიც ზემოქმედების ქვეშ მოქცეული სერტიფიკატის გამოყენებით თავს OpenAI-ის აპად ასაღებს, ნოტარიზაციის გარეშე იქნება და, შესაბამისად, macOS-ის უსაფრთხოების დაცვის მექანიზმების მიერ ნაგულისხმევად დაიბლოკება, თუ მომხმარებელი ამ დაცვის მექანიზმებს ცალსახად არ აუვლის გვერდს. იმის გამო, რომ წინა სერტიფიკატით ახალი ნოტარიზაცია დაბლოკილია და რადგან გაუქმებამ შესაძლოა გამოიწვიოს, რომ macOS-მა დაბლოკოს წინა სერტიფიკატით ხელმოწერილი აპლიკაციების ახალი ჩამოტვირთვები და პირველი გაშვებები, ჩვენს მომხმარებლებს ვაძლევთ ვადას 2026 წლის 12 ივნისამდე განახლებისთვის, რათა შეფერხებები მინიმუმამდე დავიყვანოთ. ეს პერიოდი ხელს შეუწყობს მომხმარებელთა რისკის მინიმუმამდე შემცირებას და ზემოქმედების ქვეშ მყოფ მომხმარებლებს მისცემს ჩაშენებული განახლების მექანიზმებით განახლების საშუალებას, რაც უზრუნველყოფს მათ სათანადოდ გამოსწორებას. ჩვენ ჩვენს პარტნიორებთან ერთად ვაწარმოებთ მონიტორინგს ხელმოწერის სერტიფიკატის ბოროტად გამოყენების ნებისმიერი ნიშნის გამოსავლენად და, თუ ამ პერიოდში მავნე აქტივობას გამოვავლენთ, მისი გაუქმების ვადებს დავაჩქარებთ.
