Жақында біз Mini Shai-Hulud(жаңа терезеде ашылады) деп аталатын кең ауқымды шабуылдың бір бөлігі болып табылатын, кеңінен қолданылатын ашық бастапқы кодты TanStack npm кітапханасына қатысты қауіпсіздік мәселесін анықтадық. Біз OpenAI пайдаланушыларының деректеріне қол жеткізілгенін, өндірістік жүйелеріміздің немесе зияткерлік меншігіміздің бұзылғанын немесе бағдарламалық жасақтамамыздың өзгертілгенін дәлелдейтін ешқандай айғақ таппадық.
Біз пайдаланушыларымыздың деректерін, жүйелерімізді және зияткерлік меншігімізді қорғау үшін нақты шаралар қабылдадық. Жауап шараларымыз аясында біз macOS қолданбаларымыздың түпнұсқа OpenAI қолданбалары екенін растайтын процесті қорғау үшін шаралар қабылдап жатырмыз.
macOS қолданбаларыңызды 2026 жылғы 12 маусымға дейін жаңартыңыз
Қауіпсіздік сертификаттарымызды жаңартып жатырмыз, сондықтан барлық macOS пайдаланушылары өздерінің OpenAI қолданбаларын соңғы нұсқаларына дейін жаңартуы қажет болады. Бұл OpenAI-дан шыққандай көрінетін жалған қолданбаны біреудің таратуға әрекет жасау қаупінің, ықтималдығы қаншалықты төмен болса да, алдын алуға көмектеседі. Қолданба ішіндегі жаңарту арқылы немесе төмендегі ресми сілтемелер арқылы қауіпсіз жаңарта аласыз:
Сіздің ақпаратыңыздың қауіпсіздігі мен құпиялылығы басты басымдық. Біз ашық болуға және мәселелер туындаған кезде жедел шара қолдануға ұмтыламыз. Төменде қосымша техникалық мәліметтер мен жиі қойылатын сұрақтарды бөлісіп отырмыз.
2026 жылғы 11 мамыр UTC уақыты бойынша кеңінен қолданылатын ашық бастапқы коды бар TanStack кітапханасы Mini Shai-Hulud деп аталатын ауқымды бағдарламалық жасақтама жеткізу тізбегіне жасалған шабуылдың бөлігі ретінде бұзылды(жаңа терезеде ашылады).
Біздің корпоративтік ортамыздағы екі қызметкердің құрылғысына осы шабуыл әсер етті. Зиянды әрекет анықталғаннан кейін, біз жедел зерттеп, оқшаулап, жүйелерімізді қорғау шараларын қабылдадық. Тергеу және әрекет ету шараларымыз аясында біз үшінші тараптың цифрлық криминалистика және инциденттерге әрекет ету саласындағы компаниясын тарттық.
Біз зардап шеккен екі қызметкердің қол жеткізу құқығы болған ішкі бастапқы код репозиторийлерінің шектеулі бөлігінде зиянды бағдарламаның жария сипатталған әрекетіне сәйкес келетін белсенділікті, соның ішінде рұқсатсыз қол жеткізуді және аккаунт деректеріне бағытталған эксфильтрация әрекетін байқадық. Біз осы код репозиторийлерінен тек аккаунт деректеріне қатысты шектеулі материалдың ғана сәтті шығарылғанын және басқа ешқандай ақпаратқа немесе кодқа әсер етпегенін растадық.
Біз бұл әрекетті шектеу үшін дереу шара қабылдадық. Біз әсерге ұшыраған жүйелер мен идентификаторларды оқшауладық, пайдаланушы сеанстарын қайтарып алдық, әсерге ұшыраған репозиторийлердегі барлық аккаунт деректерін ауыстырдық, кодты орналастыру жұмыс процестерін уақытша шектедік және пайдаланушы мен тіркелгі деректерінің әрекетін мұқият тексердік. Тергеу барысында біз тұтынушы деректеріне немесе зияткерлік меншігімізге әсер еткенін көрсететін дәлелдерді байқамадық, сондай-ақ талдауымыз қатер субъектісінің әсерге ұшыраған аккаунт деректерін теріс пайдалануын немесе кейінгі қол жеткізуін анықтаған жоқ.
Әсерге ұшыраған бастапқы код репозиторийлерінде өнімдерімізге арналған қол қою сертификаттары, соның ішінде iOS, macOS және Windows үшін сертификаттар болды. Нәтижесінде, сақтық шарасы ретінде кодқа қол қою сертификаттарын ауыстырып жатырмыз, бұл macOS пайдаланушыларынан қолданбаларын жаңартуды талап етеді. Windows және iOS қолданбалары үшін пайдаланушыларға ешқандай әрекет жасау қажет емес. macOS пайдаланушыларына осы міндетті жаңартуларға қатысты қосымша нұсқаулық беріледі.
Сертификаттарды жаңартумен қатар, біз жаңа нотариаттық куәландыруларды тоқтатып, осы сертификаттарды рұқсатсыз пайдаланудың алдын алу үшін платформа провайдерлерімен үйлесімді жұмыс істеп жатырмыз. Біз сондай-ақ алдыңғы сертификаттарымызбен расталған барлық бағдарламалық жасақтаманы қарап шығып, осы кілттер арқылы күтпеген қол қою болмағанын растадық және жарияланған бағдарламалық жасақтамамызда рұқсат етілмеген өзгерістер жоқ екенін тексердік. Біз қолданыстағы бағдарламалық жасақтама орнатылымдарының қауіпсіздігі бұзылғанын немесе оларға қандай да бір қауіп төніп тұрғанын көрсететін ешқандай дәлел таппадық.
2026 жылғы 12 маусымда сертификатымыздың күшін толық жойғаннан кейін, алдыңғы сертификатпен қол қойылған қолданбаларды жүктеп алу және іске қосу әрекеттерін macOS қауіпсіздік жүйесі бұғаттайды.
Axios оқиғасынан кейін біз осыған ұқсас жеткізу тізбегіне жасалатын шабуылдардың әсерін азайту үшін қауіпсіздікті бақылаудың нақты шаралары мен технологияларын енгізуді жеделдеттік. Біздің қауіпсіздік шараларымызға CI/CD процесінде пайдаланылатын құпия деректерді қосымша нығайту, minimumReleaseAge сияқты бақылау тетіктері бар пакет менеджері конфигурацияларын енгізу және жаңа пакеттердің шығу тегін тексеруге арналған қосымша қауіпсіздік бағдарламалық жасақтамасын қолдану кірді.
Бұл оқиға осы бақылау шараларын кезең-кезеңімен енгізу және тарату барысында орын алды, ал зардап шеккен қызметкерлердің екі құрылғысында зиянды бағдарламаны қамтитын жаңадан анықталған пакетті жүктеуге жол бермейтін жаңартылған конфигурациялар болмаған.
Бұл оқиға қауіп-қатер ландшафтындағы кеңірек өзгерісті көрсетеді: шабуылдаушылар жекелеген компанияны емес, ортақ бағдарламалық жасақтама тәуелділіктері мен әзірлеу құралдарын жиі нысанаға алуда. Заманауи бағдарламалық жасақтама ашық бастапқы кодты кітапханалардың, пакет менеджерлерінің және үздіксіз интеграция мен үздіксіз орналастыру инфрақұрылымының терең өзара байланысқан экожүйесіне негізделген. Жоғарғы деңгейдегі жеткізу тізбегінде енгізілген осалдық ұйымдар арасында кеңінен әрі жылдам таралуы мүмкін. Біз үшінші тарап компоненттерінің тұтастығы мен шығу тегін тексеретін бақылау тетіктеріне инвестиция салуды жалғастырып, осындай экожүйе деңгейіндегі жеткізу тізбегіне жасалатын шабуылдарға қарсы қорғанысымызды күшейтудеміз.
OpenAI өнімдері немесе пайдаланушы деректері қауіпке ұшырады ма?
Жоқ. OpenAI өнімдері немесе пайдаланушы деректері қауіпке ұшырағанын немесе ашыққа шыққанын көрсететін ешқандай дәлел таппадық.
OpenAI ретінде қолтаңба қойылған зиянды бағдарламаны көрдіңіз бе?
Жоқ. Зиянды бағдарламалық жасақтаманың OpenAI сертификаттарының кез келгенімен қол қойылғанына қатысты ешқандай дәлел таппадық.
Құпиясөзімді өзгертуім керек пе?
Жоқ. Тұтынушылардың/пайдаланушылардың құпиясөздері мен API кілттері әсерге ұшыраған жоқ.
Бұл қандай платформаларға әсер етеді?
Windows, macOS, iOS және Android үшін қол қою кілттерімізге әсер тиді. Біздің барлық қолданбаларымызға қайта қол қойылып, олар жаңа сертификаттармен қайта шығарылуда. macOS пайдаланушылары қолданбалардың жұмысын жалғастыруы үшін 2026 жылғы 12 маусымға дейін жаңартуды орындау үшін қажетті әрекеттерді жасауы керек.
Неге Mac қолданбаларымды жаңартуды сұрап жатырсыз?
Жаңарту біздің ең соңғы сертификатымызбен қол қойылған нұсқаларды пайдаланып жатқаныңызды қамтамасыз етеді. Бұл сертификат тұтынушыларға бағдарламалық жасақтаманың заңды әзірлеуші OpenAI компаниясынан шыққанын білуге көмектеседі.
Жаңартылған macOS қолданбаларын қайдан жүктеп аламын?
OpenAI қолданбаларын тек қолданба ішіндегі жаңартулар арқылы немесе төмендегі ресми веб-беттерден жүктеп алыңыз.
Электрондық хаттардағы, хабарлардағы, жарнамалардағы немесе үшінші тараптың жүктеп алу сайттарындағы сілтемелер арқылы қолданбаларды орнатпаңыз. Электрондық пошта, мәтіндік хабарлар, чат хабарлары, жарнамалар, файл бөлісу сілтемелері немесе үшінші тараптың жүктеп алу сайттары арқылы жіберілген күтпеген «OpenAI», «ChatGPT» немесе «Codex» орнатқыштарынан сақ болыңыз.
2026 жылғы 12 маусымнан кейін не болады?
2026 жылдың 12 маусымынан бастап macOS жүйесіне арналған жұмыс үстелі қолданбаларымыздың ескі нұсқалары бұдан былай жаңартуларды немесе қолдауды алмайды және жұмыс істемеуі мүмкін. Бұл нұсқалар біздің ескірген сертификатымызбен қолтаңбаланған соңғы шығарылымдар:
- ChatGPT Desktop: 1.2026.118
- Codex қолданбасы: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Неліктен сертификаттың күшін дереу жоймайсыз?
Біз әсер еткен нотариалды растау материалын пайдаланып, macOS қолданбаларының кез келген болашақта нотариалды расталуын бұғаттау үшін жұмыс істедік. Бұл әсер еткен сертификатты пайдаланып, өзін OpenAI қолданбасы ретінде көрсететін кез келген алаяқтық қолданбада нотаризация болмайды, сондықтан ол macOS қауіпсіздік қорғаныстары тарапынан әдепкі бойынша бұғатталады, егер пайдаланушы бұл қорғаныстарды айқын түрде айналып өтпесе. Алдыңғы сертификатпен жаңа нотаризация бұғатталғандықтан және кері қайтарып алу macOS жүйесінің алдыңғы сертификатпен қол қойылған қолданбалардың жаңа жүктеп алуларын және алғаш рет іске қосылуын бұғаттауына себеп болуы мүмкін болғандықтан, біз пайдаланушыларымызға 2026 жылғы 12 маусымға дейін жаңартуға уақыт беріп отырмыз, іркілістерді барынша азайту үшін. Бұл уақыт аралығы пайдаланушы тәуекелін барынша азайтуға және әсерге ұшыраған клиенттерге кіріктірілген жаңарту механизмдері арқылы жаңартуға мүмкіндік береді, осылайша олардың тиісті түрде түзетілуін қамтамасыз етеді. Біз серіктестерімізбен бірге қол қою сертификатын қате мақсатта пайдаланудың қандай да бір белгілерін бақылап отырмыз және осы уақыт аралығында зиянды әрекет анықталса, кері қайтарып алу мерзімін жеделдетеміз.
