OpenAI усиливает безопасность своих приложений для macOS после обнаружения уязвимости, связанной с популярной библиотекой Axios. Компания сообщила, что сторонний компонент, используемый в ряде ее программ, был скомпрометирован, что заставило разработчиков внедрить дополнительные защитные меры.
Об этом сообщает ProIT
Обновления для пользователей macOS и рекомендации OpenAI
По информации OpenAI, в настоящее время не зафиксировано никаких признаков утечки личных данных пользователей, компрометации систем или интеллектуальной собственности. В то же время компания рекомендует пользователям macOS как можно быстрее обновить свои приложения до последних версий, чтобы минимизировать риски использования поддельного программного обеспечения.
«По данным OpenAI, признаков утечки данных пользователей, компрометации систем или интеллектуальной собственности не выявлено. Также нет свидетельств того, что сторонние лица получили доступ к внутренним ресурсам или изменили работу программного обеспечения».
Детали инцидента и устранение последствий
Инцидент произошел после того, как 31 марта была изменена библиотека Axios. Во время разработки инструмент GitHub Actions загрузил и выполнил измененную версию, которая потенциально могла получить доступ к сертификатам, используемым для подписи приложений ChatGPT Desktop, Codex, Codex-cli и Atlas. Дополнительный анализ подтвердил, что подписывающие ключи, вероятно, не были скомпрометированы вредоносным кодом.
OpenAI объявила, что старые версии десктопных приложений для macOS, выпущенные до 8 марта, больше не будут получать обновлений и впоследствии могут потерять работоспособность. При этом пароли и API-ключи пользователей остались защищенными. Причиной инцидента признана некорректная конфигурация GitHub Actions, которую уже исправили, а сертификаты безопасности обновили для дополнительной защиты.