Nedávno sme identifikovali bezpečnostný problém týkajúci sa bežne používanej open-source knižnice TanStack npm, ktorý je súčasťou širšieho útoku známeho ako Mini Shai-Hulud(otvorí sa v novom okne). Nenašli sme žiadne dôkazy o tom, že by došlo k prístupu k údajom používateľov OpenAI, že by boli kompromitované naše produkčné systémy alebo duševné vlastníctvo, ani že by bol zmenený náš softvér.
Podnikli sme rozhodné kroky na ochranu údajov našich používateľov, systémov a duševného vlastníctva. V rámci našej reakcie prijímame opatrenia na ochranu procesu, ktorý potvrdzuje, že naše aplikácie pre macOS sú legitímne aplikácie OpenAI.
Aktualizuj svoje aplikácie pre macOS do 12. júna 2026
Aktualizujeme naše bezpečnostné certifikáty, čo bude vyžadovať, aby všetci používatelia macOS aktualizovali svoje aplikácie OpenAI na najnovšie verzie. Pomáha to predchádzať akémukoľvek riziku, hoci nepravdepodobnému, že sa niekto pokúsi distribuovať falošnú aplikáciu, ktorá vyzerá, že pochádza od OpenAI. Bezpečne môžeš aktualizovať prostredníctvom aktualizácie v aplikácii alebo na nižšie uvedených oficiálnych odkazoch:
Bezpečnosť a súkromie vašich informácií sú pre nás najvyššou prioritou. Zaväzujeme sa k transparentnosti a k rýchlemu konaniu, keď sa objavia problémy. Nižšie uvádzame viac technických podrobností a odpovede na často kladené otázky.
11. mája 2026 UTC bola knižnica TanStack, široko používaná open-source knižnica, kompromitovaná ako súčasť širšieho útoku na dodávateľský reťazec softvéru, známeho ako Mini Shai-Hulud(otvorí sa v novom okne).
Tento útok zasiahol dve zariadenia zamestnancov v našom firemnom prostredí. Po identifikovaní škodlivej aktivity sme rýchlo pracovali na vyšetrovaní, obmedzení incidentu a prijatí krokov na ochranu našich systémov. V rámci vyšetrovania a reakcie sme zapojili externú firmu špecializujúcu sa na digitálnu forenziku a reakciu na incidenty.
Zaznamenali sme aktivitu zodpovedajúcu verejne opísanému správaniu malvéru vrátane neoprávneného prístupu a exfiltrácie zameranej na prihlasovacie údaje v obmedzenej podmnožine interných repozitárov zdrojového kódu, ku ktorej mali prístup dvaja zasiahnutí zamestnanci. Potvrdili sme, že z týchto repozitárov bol úspešne exfiltrovaný len obmedzený materiál prihlasovacích údajov a že neboli zasiahnuté žiadne ďalšie informácie ani kód.
Okamžite sme konali, aby sme aktivitu obmedzili. Izolovali sme zasiahnuté systémy a identity, zrušili používateľské relácie, obmenili všetky prihlasovacie údaje vo všetkých zasiahnutých repozitároch, dočasne obmedzili pracovný postup nasadzovania kódu a dôkladne sme preverili správanie používateľov a prihlasovacích údajov. V rámci nášho vyšetrovania sme nezaznamenali dôkazy o dopade na údaje zákazníkov ani na naše duševné vlastníctvo, a naša analýza neidentifikovala zneužitie zasiahnutých prihlasovacích údajov ani následný prístup zo strany útočníka.
Zasiahnuté repozitáre zdrojového kódu obsahovali podpisové certifikáty pre naše produkty vrátane iOS, macOS a Windows. V dôsledku toho preventívne obmieňame certifikáty na podpisovanie kódu, čo bude vyžadovať, aby používatelia macOS aktualizovali svoje aplikácie. Používatelia aplikácií pre Windows a iOS nemusia podniknúť žiadne kroky. Používateľom macOS poskytneme ďalšie pokyny týkajúce sa týchto povinných aktualizácií.
Okrem obmeny certifikátov koordinujeme s poskytovateľmi platforiem aj zabránenie akémukoľvek neoprávnenému použitiu týchto certifikátov zastavením nových notarizácií. Preskúmali sme tiež všetky notarizácie softvéru s použitím našich predchádzajúcich certifikátov, aby sme potvrdili, že s týmito kľúčmi nedošlo k žiadnemu neočakávanému podpisovaniu softvéru, a overili sme, že náš publikovaný softvér neobsahoval neoprávnené úpravy. Nenašli sme žiadne dôkazy o kompromitácii ani riziku pre existujúce inštalácie softvéru.
Po úplnom zrušení nášho certifikátu 12. júna 2026 budú nové sťahovania a spúšťania aplikácií podpísaných predchádzajúcim certifikátom blokované bezpečnostnými ochranami macOS.
Po incidente Axios sme urýchlili nasadenie konkrétnych bezpečnostných opatrení a technológií s cieľom znížiť vplyv útokov na dodávateľský reťazec, ako bol tento. Naša bezpečnostná reakcia zahŕňala ďalšie posilnenie ochrany citlivých materiálov prihlasovacích údajov používaných v našom CI/CD pipeline, nasadenie konfigurácií správcu balíkov s kontrolami, ako je minimumReleaseAge, a dodatočný bezpečnostný softvér na overovanie pôvodu nových balíkov.
Tento incident sa stal počas nášho postupného nasadzovania a zavádzania týchto kontrol, a dve zasiahnuté zariadenia zamestnancov nemali aktualizované konfigurácie, ktoré by zabránili stiahnutiu novo zisteného balíka obsahujúceho malvér.
Tento incident odráža širší posun v prostredí hrozieb: útočníci sa čoraz viac zameriavajú na zdieľané softvérové závislosti a vývojárske nástroje namiesto jednej konkrétnej spoločnosti. Moderný softvér je postavený na hlboko prepojenom ekosystéme open-source knižníc, správcov balíkov a infraštruktúry kontinuálnej integrácie a kontinuálneho nasadzovania, čo znamená, že zraniteľnosť zavedená vo vyššej úrovni dodávateľského reťazca môže široko a rýchlo preniknúť do organizácií. Naďalej investujeme do kontrol, ktoré overujú integritu a pôvod komponentov tretích strán, a posilňujeme našu obranu proti takýmto útokom na dodávateľský reťazec na úrovni ekosystému.
Boli produkty OpenAI alebo údaje používateľov kompromitované?
Nie. Nezistili sme žiadne dôkazy o tom, že by produkty OpenAI alebo údaje používateľov boli kompromitované alebo odhalené.
Zaznamenali ste malvér podpísaný ako OpenAI?
Nie. Nenašli sme žiadne dôkazy o tom, že by bol škodlivý softvér podpísaný niektorým z certifikátov OpenAI.
Musím si zmeniť heslo?
Nie. Heslá zákazníkov/používateľov a kľúče API neboli ovplyvnené.
Ktorých platforiem sa to týka?
Boli zasiahnuté naše podpisové kľúče pre Windows, macOS, iOS a Android. Všetky naše aplikácie sa znovu podpisujú a vydávajú s novými certifikátmi. Používatelia macOS budú musieť do 12. júna 2026 vykonať aktualizáciu, aby aplikácie fungovali aj naďalej.
Prečo ma žiadate, aby som aktualizoval/-a svoje aplikácie pre Mac?
Aktualizácia zabezpečí, že budete používať verzie podpísané naším najnovším certifikátom. Tento certifikát pomáha zákazníkom vedieť, že softvér pochádza od legitímneho vývojára – OpenAI.
Kde si môžem stiahnuť aktualizované aplikácie pre macOS?
Aplikácie OpenAI sťahuj iba prostredníctvom aktualizácií v aplikácii alebo z nižšie uvedených oficiálnych webových stránok:
Neinštaluj aplikácie z odkazov v e-mailoch, správach, reklamách ani zo stránok tretích strán na sťahovanie. Buď opatrný/-á pri neočakávaných inštalátoroch „OpenAI“, „ChatGPT“ alebo „Codex“ zaslaných e-mailom, textovou správou, chatovými správami, reklamami, odkazmi na zdieľanie súborov alebo cez stránky tretích strán na sťahovanie.
Čo sa stane po 12. júni 2026?
Od 12. júna 2026 už staršie verzie našich desktopových aplikácií pre macOS nebudú dostávať aktualizácie ani podporu a nemusia byť funkčné. Tieto verzie predstavujú posledné vydania podpísané naším zastaraným certifikátom:
- ChatGPT pre desktop: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Prečo certifikát nezrušíte okamžite?
Pracovali sme na zablokovaní akejkoľvek ďalšej notarizácie aplikácií pre macOS s použitím zasiahnutého notarizačného materiálu. To znamená, že akejkoľvek podvodnej aplikácii vydávajúcej sa za aplikáciu OpenAI s použitím zasiahnutého certifikátu bude chýbať notarizácia, a preto ju bezpečnostné ochrany macOS štandardne zablokujú, pokiaľ ich používateľ výslovne neobíde. Keďže nová notarizácia s predchádzajúcim certifikátom je zablokovaná a keďže zrušenie môže spôsobiť, že macOS zablokuje nové sťahovania a prvé spustenia aplikácií podpísaných predchádzajúcim certifikátom, dávame našim používateľom čas do 12. júna 2026 na aktualizáciu, aby sme minimalizovali prerušenie. Toto obdobie pomôže minimalizovať riziko pre používateľov a umožní zasiahnutým klientom aktualizovať sa prostredníctvom vstavaných mechanizmov aktualizácie, čím sa zabezpečí primeraná náprava. Spolupracujeme s našimi partnermi na monitorovaní akýchkoľvek indikátorov zneužitia podpisového certifikátu a ak počas tohto obdobia identifikujeme škodlivú aktivitu, časový plán zrušenia urýchlime.
