Неодамна идентификувавме безбедносен проблем што вклучува често користена библиотека со отворен код, TanStack npm, која е дел од поширок напад познат како Mini Shai-Hulud(се отвора во нов прозорец). Не најдовме докази дека било пристапено до податоците на корисниците на OpenAI, дека нашите продукциски системи или интелектуална сопственост биле компромитирани, или дека нашиот софтвер бил изменет.
Презедовме решителни чекори за да ги заштитиме корисничките податоци, системите и интелектуалната сопственост. Како дел од нашиот одговор, преземаме чекори за да го заштитиме процесот што потврдува дека нашите macOS апликации се легитимни OpenAI апликации.
Ажурирајте ги вашите macOS апликации до 12 јуни 2026
Ги ажурираме нашите безбедносни сертификати, што ќе бара сите корисници на macOS да ги ажурираат своите OpenAI апликации на најновите верзии. Ова помага да се спречи каков било ризик, колку и да е мал, некој да се обиде да дистрибуира лажна апликација што изгледа како да е од OpenAI. Можете безбедно да ажурирате преку ажурирање во апликацијата или на официјалните линкови подолу:
Безбедноста и приватноста на вашите информации ни се врвен приоритет. Посветени сме на транспарентност и на брзо дејствување кога ќе се појават проблеми. Подолу споделуваме повеќе технички детали и ЧПП.
На 11 мај 2026 UTC, TanStack, широко користена open-source библиотека, беше компромитирана како дел од поширок напад врз синџирот на снабдување на софтвер познат како Mini Shai-Hulud(се отвора во нов прозорец).
Два уреди на вработени во нашата корпоративна средина беа погодени од овој напад. Откако ја идентификувавме злонамерната активност, работевме брзо за да истражиме, ограничиме и преземеме чекори за заштита на нашите системи. Како дел од истрагата и одговорот, ангажиравме надворешна фирма за дигитална форензика и одговор на инциденти.
Забележавме активност што е во согласност со јавно опишаното однесување на малициозниот софтвер, вклучително и неовластен пристап и активност на ексфилтрација насочена кон акредитиви, во ограничен подсклоп на внатрешни репозиториуми на изворен код до кои двајцата погодени вработени имале пристап. Потврдивме дека само ограничен материјал со акредитиви бил успешно ексфилтриран од овие репозиториуми на код и дека ниту една друга информација или код не биле погодени.
Веднаш дејствувавме за да ја ограничиме активноста. Ги изолиравме погодените системи и идентитети, ги поништивме корисничките сесии, ги ротиравме сите акредитиви низ погодените репозиториуми, привремено ги ограничивме работните текови за распоредување код и темелно го проверивме однесувањето на корисниците и акредитивите. Како дел од нашата истрага, не забележавме докази за влијание врз податоците на клиентите или врз нашата интелектуална сопственост, а нашата анализа не идентификуваше злоупотреба на погодените акредитиви или последователен пристап од заканувачкиот актер.
Погодените репозиториуми на изворен код вклучуваа сертификати за потпишување за нашите производи, вклучително и iOS, macOS и Windows. Како резултат на тоа, како мерка на претпазливост ги ротираме сертификатите за потпишување код, што ќе бара корисниците на macOS да ги ажурираат своите апликации. Корисниците не треба да преземаат никакво дејство за Windows и iOS апликациите. Дополнителни насоки ќе им бидат дадени на корисниците на macOS во врска со овие задолжителни ажурирања.
Покрај ротацијата на сертификатите, координираме со давателите на платформи за да спречиме каква било неовластена употреба на овие сертификати со запирање на нови нотаризации. Исто така, ги прегледавме сите нотаризации на софтвер користејќи ги нашите претходни сертификати за да потврдиме дека не се случило неочекувано потпишување на софтвер со овие клучеви, и потврдивме дека нашиот објавен софтвер немал неовластени измени. Не најдовме докази за компромитирање или ризик за постојните инсталации на софтвер.
Откако целосно ќе го повлечеме нашиот сертификат на 12 јуни 2026, новите преземања и стартувања на апликации потпишани со претходниот сертификат ќе бидат блокирани од безбедносните заштити на macOS.
По инцидентот со Axios, го забрзавме воведувањето на конкретни безбедносни контроли и технологии за да го намалиме влијанието на нападите врз синџирот на снабдување како овој. Нашиот безбедносен одговор вклучуваше дополнително зацврстување на чувствителните материјали со акредитиви што се користат во нашиот CI/CD pipeline, воведување конфигурации на package manager со контроли како што е minimumReleaseAge и дополнителен безбедносен софтвер за валидација на потеклото на новите пакети.
Овој инцидент се случи за време на нашето фазно воведување и пуштање во употреба на овие контроли, а двата погодени уреди на вработени немаа ажурирани конфигурации што ќе го спречеа преземањето на новозабележаниот пакет што содржел малициозен софтвер.
Овој инцидент одразува поширока промена во заканите: напаѓачите сè повеќе таргетираат споделени софтверски зависности и алатки за развој наместо која било поединечна компанија. Современиот софтвер се гради врз длабоко меѓусебно поврзан екосистем од библиотеки со отворен код, системи за менаџирање пакети и инфраструктура за континуирана интеграција и континуирано распоредување, што значи дека ранливост воведена upstream може широко и брзо да се прошири низ организации. Продолжуваме да инвестираме во контроли што го валидираат интегритетот и потеклото на компоненти од трети лица и да ја зајакнуваме нашата одбрана од вакви напади врз синџирот на снабдување на ниво на екосистем.
Дали OpenAI производите или корисничките податоци беа компромитирани?
Не. Не најдовме докази дека OpenAI производите или корисничките податоци биле компромитирани или изложени.
Дали сте виделе малициозен софтвер потпишан како OpenAI?
Не. Не најдовме докази дека некаков злонамерен софтвер бил потпишан со кој било од сертификатите на OpenAI.
Дали треба да ја сменам лозинката?
Не. Лозинките на клиентите/корисниците и API клучевите не беа засегнати.
Кои платформи се засегнати?
Нашите клучеви за потпишување за Windows, macOS, iOS и Android беа засегнати. Сите наши апликации повторно се потпишуваат и се објавуваат со нови сертификати. Корисниците на macOS ќе треба да преземат дејство за ажурирање до 12 јуни 2026 за апликациите да продолжат да функционираат.
Зошто барате да ги ажурирам моите Mac апликации?
Ажурирањето осигурува дека користите верзии потпишани со нашиот најнов сертификат. Овој сертификат им помага на клиентите да знаат дека софтверот доаѓа од легитимниот развивач, OpenAI.
Од каде да ги преземам ажурираните macOS апликации?
Преземајте OpenAI апликации само преку ажурирања во апликацијата или од официјалните веб-страници подолу:
Не инсталирајте апликации од линкови во е-пошта, пораки, реклами или страници за преземање од трети лица. Бидете внимателни со неочекувани инсталатери „OpenAI“, „ChatGPT“ или „Codex“ испратени преку е-пошта, СМС, пораки во разговор, реклами, линкови за споделување датотеки или страници за преземање од трети лица.
Што се случува по 12.06.2026 г.?
Од 12 јуни 2026, постарите верзии на нашите macOS десктоп апликации повеќе нема да добиваат ажурирања или поддршка и можеби нема да функционираат. Овие верзии ги претставуваат последните изданија потпишани со нашиот застарен сертификат:
- ChatGPT за десктоп: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Зошто не го повлекувате сертификатот веднаш?
Работевме на тоа да блокираме каква било понатамошна нотаризација на macOS апликации со погодениот материјал за нотаризација. Тоа значи дека секоја измамничка апликација што се претставува како OpenAI апликација користејќи го погодениот сертификат ќе нема нотаризација и затоа стандардно ќе биде блокирана од безбедносните заштити на macOS, освен ако корисникот експлицитно не ги заобиколи тие заштити. Бидејќи новата нотаризација со претходниот сертификат е блокирана, и бидејќи повлекувањето може да предизвика macOS да блокира нови преземања и први стартувања на апликации потпишани со претходниот сертификат, им даваме време на нашите корисници до 12 јуни 2026 да ажурираат за да го минимизираме нарушувањето. Овој период ќе помогне да се минимизира ризикот за корисниците и ќе им овозможи на погодените клиенти да ажурираат преку вградените механизми за ажурирање, осигурувајќи дека се соодветно отстранети последиците. Работиме со нашите партнери за да следиме какви било индикатори за злоупотреба на сертификатот за потпишување и ќе ја забрзаме временската рамка за повлекување ако идентификуваме злонамерна активност во овој период.
