OpenAI 指出 3 月 31 日供應鏈攻擊未見使用者資料被取用,但為謹慎撤換簽章,舊版 macOS 應用自 5 月 8 日起恐無法更新或運作。
OpenAI 週五對外發布宣告,針對 3 月 31 日一起與第三方開發者函式庫 Axios 有關的安全事件做出回應。公司表示,經內部調查「沒有發現 OpenAI 使用者資料被存取、系統或智慧財產遭到入侵,或軟體被惡意改動」;但該事件源於一個被指與北韓關聯的攻擊團隊對 Axios 的入侵,攻擊波及多個使用該函式庫的專案。
事件細節顯示,攻擊者藉由影響 OpenAI 用於 macOS 應用簽章流程的 GitHub Actions 工作流程,下載並執行遭改造的 Axios 版本。該工作流程擁有一組簽章憑證,用以向使用者證明 macOS 版應用(包含 ChatGPT 與 Codex)來自 OpenAI。雖然 OpenAI 表示未發現該憑證被實際濫用,但「出於極度謹慎」,公司決定視同憑證已被妥協,並立即撤銷與輪替。
因應撤銷憑證與輪替作業,OpenAI 宣佈自 5 月 8 日起,舊版本的 macOS 桌面應用將不再收到更新或支援,且可能無法正常運作。公司強調「資訊安全與隱私為首要任務」,承諾在問題發生時採取透明與快速行動。
此事件凸顯供應鏈攻擊的系統性風險:即便核心服務未被入侵,只要自動化流程或第三方套件被汙染,就可能暴露簽章金鑰或部署許可權。資安專家建議的緩解措施包括:限制 CI/CD 系統的機密存取許可權、使用短期或一次性憑證、針對第三方依賴鎖定版本並進行定期掃描、以及強化工作流程的變更審查與異常偵測。
針對可能的替代觀點——例如有人認為撤銷未被濫用的憑證是過度反應或會造成使用者困擾——OpenAI 的作法可被視為建立與維持使用者與合作夥伴信任的必要短期成本。預防性撤銷可避免未來發現隱匿濫用時造成更大信任與法規風險。
展望未來,OpenAI 需持續公開調查進展、提供受影響使用者明確升級指引,並與開發者社群合作強化第三方依賴管理;對一般使用者的行動號召則為:確認已安裝最新版本、啟用自動更新、密切注意官方安全公告。
點擊下方連結,開啟「美股K線APP」,獲得更多美股即時資訊喔!
https://www.cmoney.tw/r/56/9hlg37
免責宣言
本網站所提供資訊僅供參考,並無任何推介買賣之意,投資人應自行承擔交易風險。
