OpenAI odhalila zranitelnost externího modulu ve svých produktech – bezpečnost uživatelských dat nebyla porušena

OpenAI oznamuje zjištěnou bezpečnostní hrozbu a opatření k jejímu odstranění

OpenAI oznámila objevení potenciální zranitelnosti v externím komponentě Axios, který se používá ve více jejich aplikacích. V důsledku toho musela společnost přijmout opatření na ochranu procesu certifikace softwaru pro macOS.

- Nedostatek důkazů o kompromitaci

V současné době OpenAI nenalezla potvrzení, že by útočníci získali přístup k uživatelským datům, narušili fungování systémů nebo změnili software.

- Jak byla zranitelnost uzavřena

Společnost aktualizovala bezpečnostní certifikáty a důrazně doporučuje všem uživatelům aplikací pro macOS přejít na nejnovější verze. To pomůže vyloučit riziko šíření padělkového softwaru.

- Podstata incidentu

Na začátku března byla knihovna Axios zneužita a škodlivá verze byla stažena a spuštěna v procesu CI/CD prostřednictvím GitHub Actions. Škodlivá verze získala přístup k certifikátům používaným pro podepisování aplikací ChatGPT Desktop, Codex, Codex‑cli a Atlas. Analýza ukázala, že certifikáty nebyly odcizeny škodlivým kódem.

- Problém starých verzí

Desktopové aplikace OpenAI pro macOS vydané před 8. březnem již nebudou dostávat aktualizace a podporu. To může vést ke ztrátě funkčnosti programů.

- Bezpečnost klíčů

Společnost zdůraznila, že hesla a API‑klíče OpenAI zůstaly chráněny. Hlavní příčinou incidentu byla nesprávná konfigurace GitHub Actions, kterou již opravili.

Tímto OpenAI ukončila práci na odstranění hrozby aktualizací certifikátů a nabídkou uživatelům přejít na aktuální verze aplikací pro macOS.