Atak na łańcuch dostaw oprogramowania uderzył w jedno z najpopularniejszych narzędzi programistycznych na świecie, wymuszając natychmiastową reakcję ze strony twórców ChatGPT.
OpenAI poinformowało w oficjalnym komunikacie o zidentyfikowaniu luki bezpieczeństwa powiązanej z zewnętrznym narzędziem programistycznym Axios, które jest powszechnie wykorzystywaną biblioteką w ekosystemie JavaScript. Firma podjęła zdecydowane kroki w celu zabezpieczenia procesu certyfikacji swoich aplikacji na system macOS, aby zagwarantować użytkownikom, że korzystają z autentycznego i bezpiecznego oprogramowania.
Przedstawiciele giganta AI podkreślili, że w wyniku przeprowadzonej analizy nie znaleziono żadnych dowodów na nieuprawniony dostęp do danych użytkowników ani na naruszenie systemów wewnętrznych czy własności intelektualnej firmy. OpenAI zapewnia również, że kod źródłowy ich autorskiego oprogramowania nie został w żaden sposób zmodyfikowany przez napastników. Sytuacja jest jednak na tyle poważna, że firma zdecydowała się na aktualizację swoich certyfikatów bezpieczeństwa i nałożyła na wszystkich użytkowników komputerów Apple obowiązek aktualizacji aplikacji OpenAI do najnowszych wersji. Działanie to ma na celu wyeliminowanie ryzyka dystrybucji fałszywych wersji oprogramowania, które mogłyby podszywać się pod oficjalne narzędzia takie jak ChatGPT Desktop czy Atlas. Eksperci z branży cyberbezpieczeństwa zauważają, że incydent ten wpisuje się w szerszy trend ataków na infrastrukturę zaufania, gdzie celem są klucze podpisujące aplikacje.
Północnokoreański ślad w ataku na bibliotekę Axios
Według ustaleń OpenAI oraz niezależnych badaczy bezpieczeństwa, biblioteka Axios stała się ofiarą ataku już 31 marca w ramach operacji wymierzonej w globalny łańcuch dostaw oprogramowania. Za atakiem stoją grupy hakerskie powiązane z Koreą Północną, które zdołały wprowadzić złośliwy kod do popularnego repozytorium. W wyniku tego incyntentu przepływ pracy w usłudze GitHub Actions używany przez OpenAI nieświadomie pobrał i wykonał zainfekowaną wersję Axios. Narzędzie to posiadało dostęp do materiałów certyfikacyjnych i notarialnych wykorzystywanych do podpisywania aplikacji na system macOS, co teoretycznie mogło pozwolić hakerom na stworzenie złośliwego oprogramowania wyglądającego na w pełni legalny produkt OpenAI. Microsoft Threat Intelligence przypisuje ten atak grupie Sapphire Sleet, wskazując na wysoką precyzję działań napastników. Mimo że złośliwy ładunek miał dostęp do certyfikatów, szczegółowa analiza techniczna wykazała, że najprawdopodobniej nie doszło do ich skutecznego wykradnięcia przez napastników. OpenAI uspokaja, że klucze API oraz hasła użytkowników pozostały bezpieczne i nie były narażone na wyciek w związku z tą luką. Jest to kluczowa informacja dla deweloperów budujących rozwiązania oparte o modele językowe, dla których bezpieczeństwo poświadczeń jest priorytetem.
Konieczne aktualizacje i nowe standardy bezpieczeństwa
Bezpośrednią przyczyną incydentu była błędna konfiguracja w przepływie pracy GitHub Actions, która została już naprawiona przez inżynierów OpenAI. Firma wyznaczyła jednak twardy termin na wdrożenie zmian przez swoich użytkowników — od 8 maja starsze wersje aplikacji desktopowych na macOS przestaną otrzymywać wsparcie techniczne i mogą przestać funkcjonować. Wymóg ten dotyczy nie tylko popularnego ChatGPT Desktop, ale także narzędzi takich jak Codex, Codex-cli oraz Atlas.
Cała branża obserwuje ten przypadek jako ostrzeżenie przed zbyt dużym zaufaniem do zewnętrznych zależności w kodzie, co potwierdzają komentarze analityków wskazujące na rosnącą skalę zagrożeń typu supply chain. Warto zauważyć, że OpenAI nie jest jedyną firmą dotkniętą tym problemem, gdyż Axios generuje miliony pobrań tygodniowo, co czyni go idealnym celem dla hakerów państwowych. Dla ekosystemu krypto i AI, gdzie Bitcoin i Ethereum stanowią fundamenty wartości, bezpieczeństwo narzędzi dostępowych jest krytyczne, a każda luka w oprogramowaniu macOS może stanowić furtkę do kradzieży aktywów. OpenAI deklaruje, że wyciągnęło wnioski z tego incydentu i wdraża dodatkowe warstwy ochrony, aby w przyszłości zminimalizować wpływ podobnych ataków na swoje procesy deweloperskie.
Przeczytaj o nowych, atrakcyjnych warunkach wynajmu mieszkań w Polsce:
Wynajmij mieszkanie od gminy i płać połowę mniej – oto jak działa nowy system SAN
oraz o tym, jak giełdy zareagowały na wojenne zawieszenie broni:
Przełom na Bliskim Wschodzie? Rynki wystrzeliły przed kluczowymi rozmowami