## 事件概述
2026年4月10日,OpenAI发布安全公告,回应涉及第三方开发者工具Axios的供应链攻击事件。该公司已紧急更换macOS应用签名证书,并要求用户在5月8日前更新应用。
## 事件详情
2026年3月31日,广泛使用的JavaScript库Axios(npm包)遭遇供应链攻击。攻击者植入了恶意代码,影响了多个使用该库的项目。
OpenAI发现,其macOS应用签名流程中的GitHub Actions工作流下载并执行了恶意版本的Axios(1.14.1版本)。该工作流可访问用于签署macOS应用的证书和公证材料,涉及ChatGPT Desktop、Codex、Codex-cli和Atlas等产品。
## OpenAI的应对措施
1. 聘请第三方数字取证和事件响应公司进行调查
2. 旋转macOS代码签名证书
3. 发布所有相关macOS产品的新版本
4. 与Apple合作确保旧证书签署的软件无法被新公证
5. 审查所有使用旧证书的软件公证记录
## 用户影响
OpenAI表示,未发现用户数据被访问、系统被入侵或软件被篡改的证据。macOS用户需要在2026年5月8日前更新到以下版本:
- ChatGPT Desktop: 1.2026.051
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
iOS、Android、Linux和Windows版本不受影响。
## 总结
此次事件凸显了软件供应链安全的重要性。OpenAI的快速响应和透明披露展示了负责任的安全实践。用户应仅从官方渠道下载应用,并在5月8日前完成更新。
## 参考来源
- https://openai.com/index/axios-developer-tool-compromise/
- https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package
- https://www.theverge.com/ai-artificial-intelligence