OpenAI遭遇软件供应链攻击：开源库Axios遭投毒 部分macOS应用受影响

OpenAI在周五晚间发布的博客文章中详细说明了情况。3月31日，黑客劫持了一名开发人员的账户，并向广泛使用的JavaScript HTTP请求库Axios（注：该库与新闻媒体Axios无关）发布了两个受感染的更新。在异常被发现之前，OpenAI用于为MacOS应用程序签署证书的GitHub工作流程不幸下载了该恶意更新。

该公司指出，包括ChatGPT、Atlas和Codex在内的MacOS应用程序用户可能会受到此次事件的影响。这一攻击的潜在威胁在于，黑客一旦获得系统的访问权限并窃取相关证书，便能制造出拥有合法后端证书的伪造OpenAI应用程序。这些伪造应用具有极强的迷惑性，足以欺骗设备和苹果App Store，使其误认为那是官方正版。

尽管潜在风险较高，但OpenAI明确表示，目前尚未发现任何黑客利用窃取证书发布伪造应用的实际案例，也没有任何证据表明用户的个人数据、公司的知识产权或内部核心系统遭到了破坏。此外，iOS、Android、Windows及其他平台的应用程序目前均未发现受到波及的迹象。

业内分析认为，这起事件凸显了一个新的安全现状：如今的人工智能公司不仅面临着针对AI技术的特定威胁，同时也已成为传统软件供应链攻击的重点狩猎对象。

出于安全和谨慎考虑，OpenAI宣布将于5月8日正式停止对旧版MacOS应用程序的支持。公司为用户提供了为期30天的更新窗口期，若逾期未更新，因相关证书被吊销，旧版应用可能会被阻止进行新的下载和首次启动。目前，该安全事件仍在持续跟进与发展中。