OpenAI посилює захист застосунків після виявленої загрози

OpenAI повідомила про виявлену загрозу безпеці, пов’язану зі стороннім компонентом Axios, який використовується в кількох її застосунках. Через це компанія була змушена вжити додаткових заходів для захисту процесу сертифікації своїх програм у macOS.

За даними OpenAI, ознак витоку даних користувачів, компрометації систем або інтелектуальної власності не виявлено. Також немає свідчень того, що сторонні отримали доступ до внутрішніх ресурсів або змінили роботу програмного забезпечення. Для усунення потенційної загрози компанія оновила сертифікати безпеки та рекомендувала користувачам macOS якнайшвидше оновити застосунки до актуальних версій, щоб уникнути можливих ризиків підробленого ПЗ.

Інцидент пов’язаний із тим, що широко використовувана бібліотека Axios 31 березня зазнала компрометації. Інструмент GitHub Actions, який застосовується в процесі розробки, завантажив і запустив змінену версію бібліотеки. Вона могла отримати доступ до сертифікатів, які використовуються для підпису застосунків ChatGPT Desktop, Codex, Codex-cli та Atlas. Водночас подальший аналіз показав, що ключі підпису, ймовірно, не були викрадені через шкідливе навантаження.

OpenAI також зазначає, що старі версії десктопних застосунків для macOS, випущені до 8 березня, більше не отримуватимуть оновлень і можуть з часом втратити працездатність. При цьому паролі та API-ключі користувачів не постраждали. Первинною причиною інциденту названо неправильну конфігурацію GitHub Actions, яку вже виправлено.

Источник: itechua.com