Hivi majuzi tulitambua tatizo la usalama linalohusisha maktaba ya programu huria inayotumika sana, TanStack npm, ambayo ni sehemu ya shambulio pana zaidi linalojulikana kama Mini Shai-Hulud(fungua katika dirisha jipya). Hatukupata ushahidi wowote kwamba data ya watumiaji wa OpenAI ilifikiwa, kwamba mifumo yetu ya uzalishaji au mali yetu ya kiakili iliathiriwa, au kwamba programu yetu ilibadilishwa.
Tumechukua hatua madhubuti kulinda data ya watumiaji wetu, mifumo, na mali ya kiakili. Kama sehemu ya mwitikio wetu, tunachukua hatua kulinda mchakato unaothibitisha kuwa programu zetu za macOS ni programu halali za OpenAI.
Sasisha programu zako za macOS kufikia tarehe 12 Juni 2026
Tunasasisha vyeti vyetu vya usalama, jambo litakalowahitaji watumiaji wote wa macOS kusasisha programu zao za OpenAI hadi matoleo ya hivi karibuni. Hii husaidia kuzuia hatari yoyote, ingawa ina uwezekano kidogo, ya mtu kujaribu kusambaza programu bandia inayoonekana kana kwamba imetoka OpenAI. Unaweza kusasisha kwa usalama kupitia sasisho la ndani ya programu au kwenye viungo rasmi hapa chini:
Usalama na faragha ya taarifa zako ni kipaumbele cha juu. Tumeazimia kuwa wazi na kuchukua hatua za haraka matatizo yanapotokea. Tunashiriki maelezo zaidi ya kiufundi na Maswali Yanayoulizwa Mara kwa Mara hapa chini.
Tarehe 11 Mei 2026 UTC, TanStack, maktaba ya chanzo huria inayotumika sana, iliathiriwa kama sehemu ya shambulio pana zaidi la msururu wa ugavi wa programu linalojulikana kama Mini Shai-Hulud(fungua katika dirisha jipya).
Vifaa viwili vya wafanyakazi katika mazingira yetu ya kampuni viliathiriwa na shambulio hili. Mara tu tulipotambua shughuli hiyo hasidi, tulifanya kazi haraka kuchunguza, kudhibiti, na kuchukua hatua za kulinda mifumo yetu. Kama sehemu ya uchunguzi na mwitikio wetu, tulishirikisha kampuni ya nje ya uchunguzi wa kidijitali na mwitikio wa matukio.
Tuliona shughuli zilizolingana na tabia ya programu hasidi iliyoelezwa hadharani, ikiwemo ufikiaji usioidhinishwa na shughuli ya utoaji wa data iliyolenga vitambulisho, katika sehemu ndogo ya uhifadhi wa msimbo wa chanzo ambazo wafanyakazi hao wawili walioathiriwa walikuwa na ufikiaji wake. Tulithibitisha kwamba ni nyenzo chache tu za vitambulisho zilizotolewa kwa mafanikio kutoka kwenye uhifadhi huu wa msimbo na kwamba hakuna taarifa wala msimbo mwingine uliathiriwa.
Tulichukua hatua mara moja kudhibiti shughuli hiyo. Tulitenga mifumo na utambulisho ulioathiriwa, tukabatilisha vipindi vya watumiaji, tukabadilisha vitambulisho vyote katika hifadhi zilizoathiriwa, tukazuia kwa muda michakato ya kupeleka msimbo, na tukachunguza kwa kina tabia za watumiaji na vitambulisho. Kama sehemu ya uchunguzi wetu, hatujaona ushahidi wa athari kwa data ya wateja au mali yetu ya kiakili, na uchambuzi wetu haujabaini matumizi mabaya ya vitambulisho vilivyoathiriwa wala ufikiaji wa ziada uliofanywa na mhusika wa tishio.
Hifadhi za msimbo wa chanzo zilizoathiriwa zilijumuisha vyeti vya kutia sahihi bidhaa zetu, ikiwemo za iOS, macOS na Windows. Kutokana na hilo, tunabadilisha vyeti vya kutia saini msimbo kama hatua ya tahadhari, jambo ambalo litawahitaji watumiaji wa macOS kusasisha programu zao. Watumiaji wa Windows na iOS hawahitaji kuchukua hatua yoyote. Mwongozo zaidi utatolewa kwa watumiaji wa macOS kuhusu masasisho haya yanayohitajika.
Mbali na kubadilisha vyeti, tunashirikiana na watoa huduma wa mifumo mbalimbali kuzuia matumizi yoyote yasiyoidhinishwa ya vyeti hivi kwa kusimamisha uthibitishaji mpya wa programu. Pia tumekagua uthibitishaji wote wa programu uliotumia vyeti vyetu vya awali ili kuthibitisha kwamba hakukuwa na kutiwa saini kwa programu kusikotarajiwa kwa kutumia funguo hizi, na tumethibitisha kuwa programu tulizochapisha hazikuwa na marekebisho yasiyoidhinishwa. Hatujapata ushahidi wowote wa uvamizi au hatari kwa usakinishaji uliopo wa programu.
Mara tu tutakapobatilisha kikamilifu cheti chetu tarehe 12 Juni 2026, upakuaji mpya na uzinduzi wa programu zilizosainiwa kwa cheti cha awali zitazuiwa na ulinzi wa usalama wa macOS.
Baada ya tukio la Axios, tuliharakisha utekelezaji wa vidhibiti mahususi vya usalama na teknolojia ili kupunguza athari za mashambulizi ya msururu wa ugavi kama shambulio hili. Hatua yetu ya usalama ilijumuisha kuimarisha zaidi nyenzo nyeti za vitambulisho zinazotumika katika mfumo wetu wa CI/CD, utekelezaji wa usanidi wa usimamizi wa vifurushi wenye vidhibiti kama minimumReleaseAge, na kuongeza programu za usalama za kuthibitisha asili ya vifurushi vipya.
Tukio hili lilitokea wakati wa utekelezaji na usambazaji wa hatua kwa hatua wa vidhibiti hivi, na vifaa viwili vya wafanyakazi vilivyoathiriwa havikuwa na usanidi uliosasishwa ambao ungezuia upakuaji wa kifurushi kipya kilichoonekana kuwa na programu hasidi.
Tukio hili linaonyesha mabadiliko mapana katika mazingira ya vitisho: washambuliaji wanazidi kulenga utegemezi wa pamoja wa programu na zana za maendeleo badala ya kampuni moja tu. Programu za kisasa hujengwa juu ya mfumo ikolojia uliounganishwa kwa kina wa maktaba za chanzo huria, wasimamizi wa vifurushi, na miundombinu ya ujumuishaji endelevu na uenezaji endelevu, jambo linalomaanisha kuwa udhaifu unaoletwa upande wa juu unaweza kuenea kwa upana na haraka katika mashirika mbalimbali. Tunaendelea kuwekeza katika vidhibiti vinavyothibitisha uadilifu na asili ya vipengele vya wahusika wengine na kuimarisha ulinzi wetu dhidi ya aina hizi za mashambulio ya msururu wa ugavi katika kiwango cha mfumo ikolojia.
Je, bidhaa za OpenAI au data ya watumiaji iliathiriwa?
Hapana. Hatukupata ushahidi wowote kwamba bidhaa za OpenAI au data ya watumiaji iliathiriwa au kufichuliwa.
Je, umeona programu hasidi iliyosainiwa kama OpenAI?
Hapana. Hatukupata ushahidi wowote wa programu hasidi kutiwa saini kwa vyeti vyovyote vya OpenAI.
Je, ninahitaji kubadilisha nenosiri yangu?
Hapana. Nenosiri za mteja/mtumiaji na funguo za API hazikuathiriwa.
Ni majukwaa gani yaliyoathiriwa?
Funguo zetu za kutia saini za Windows, macOS, iOS, na Android ziliathiriwa. Programu zetu zote zinatiwa saini upya na kutolewa kwa vyeti vipya. Watumiaji wa macOS watahitaji kuchukua hatua ya kusasisha kufikia tarehe 12 Juni 2026 ili programu ziendelee kufanya kazi.
Kwa nini mnaomba nisasishe programu zangu za Mac?
Kusasisha kunahakikisha kuwa unatumia matoleo yaliyosainiwa kwa cheti chetu cha hivi karibuni. Cheti hiki huwasaidia wateja kujua kwamba programu inatoka kwa msanidi halali, OpenAI.
Ninapakua wapi programu za macOS zilizosasishwa?
Pakua programu za OpenAI tu kutoka kwenye masasisho ya ndani ya programu au kurasa rasmi ya wavuti iliyo hapa chini:
Usisanikishe programu kutoka viunganishi vilivyo kwenye barua pepe, ujumbe, matangazo, au tovuti za watu wengine za kupakua. Kuwa mwangalifu na visanikishi visivyotarajiwa vya “OpenAI,” “ChatGPT,” au “Codex” vinavyotumwa kupitia barua pepe, ujumbe wa maandishi, ujumbe wa gumzo, matangazo, viunganishi vya kushiriki faili, au tovuti za watu wengine za kupakua.
Nini hutokea baada ya tarehe 12 Juni 2026?
Kuanzia tarehe 12 Juni 2026, matoleo ya zamani ya programu zetu za macOS za kompyuta ya mezani hayatapokea tena masasisho au usaidizi, na huenda yasifanye kazi. Matoleo haya yanawakilisha machapisho ya mwisho yaliyotiwa saini kwa cheti chetu kilichopitwa na wakati:
- ChatGPT ya Kompyuta ya mezani: 1.2026.118
- Codex App: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
Kwa nini hamlibatilishi cheti mara moja?
Tumefanya kazi kuzuia uthibitishaji wowote zaidi wa programu za macOS kwa nyenzo ya uthibitishaji zilizoathiriwa. Hii ina maana kwamba programu yoyote ya udanganyifu inayojifanya kuwa programu ya OpenAI kwa kutumia cheti kilichoathiriwa haitakuwa na uthibitishaji, na kwa hivyo itazuiwa kwa chaguomsingi na ulinzi wa usalama wa macOS isipokuwa mtumiaji apuuze ulinzi huo kwa makusudi. Kwa sababu uthibitishaji mpya kwa cheti cha awali umezuiwa, na kwa sababu ubatilishaji unaweza kusababisha macOS kuzuia upakuaji mpya na uzinduzi wa kwanza wa programu zilizosainiwa kwa cheti cha awali, tunawapa watumiaji wetu hadi tarehe 12 Juni 2026 kusasisha ili kupunguza usumbufu. Kipindi hiki kitasaidia kupunguza hatari kwa watumiaji na kuruhusu wateja walioathiriwa kusasisha kupitia mifumo ya masasisho iliyojengewa ndani, kuhakikisha kuwa wamerekebishwa ipasavyo. Tunafanya kazi na washirika wetu kufuatilia viashiria vyovyote vya matumizi mabaya ya cheti cha kutia saini, na tutaharakisha ratiba ya ubatilishaji ikiwa tutabaini shughuli hasidi katika kipindi hiki.
