OpenAI je u petak saopštio da je identifikovao bezbjednosni problem povezan sa alatkom treće strane za razvoj pod nazivom Axios i da preduzima korake kako bi zaštitio proces kojim se potvrđuje da su njegove macOS aplikacije legitimne OpenAI aplikacije.

Kompanija, poznata po ChatGPT-u, navela je da nema dokaza da su korisnički podaci bili kompromitovani, da su njeni sistemi ili intelektualna svojina ugroženi, niti da je njen softver izmijenjen.

OpenAI je saopštio da ažurira svoje bezbjednosne sertifikate i zahtijeva od svih korisnika macOS-a da ažuriraju OpenAI aplikacije na najnovije verzije kako bi se spriječio rizik od distribucije lažnih aplikacija.

Prema navodima kompanije, Axios, široko korišćena biblioteka treće strane, kompromitovana je 31. marta u okviru šireg napada na lanac snabdijevanja softverom, za koji se vjeruje da su ga izveli akteri povezani sa Sjevernom Korejom.

Ovaj napad doveo je do toga da GitHub Actions radni tok koji koristi OpenAI preuzme i izvrši „zlonamjernu“ verziju Axiosa. Taj radni tok imao je pristup sertifikatu i materijalima za notarizaciju koji se koriste za potpisivanje macOS aplikacija, uključujući ChatGPT Desktop, Codex, Codex-cli i Atlas.

OpenAI je naveo da je analiza incidenta pokazala da potpisni sertifikat prisutan u ovom radnom toku najvjerovatnije nije uspješno preuzet od strane zlonamjernog koda.

Od 8. maja, starije verzije OpenAI desktop aplikacija za macOS više neće dobijati ažuriranja ni podršku, i možda neće biti funkcionalne, saopštila je kompanija.

Lozinke i OpenAI API ključevi nijesu bili pogođeni ovim bezbjednosnim incidentom, dodaje se, uz napomenu da je uzrok problema bila pogrešna konfiguracija u GitHub Actions radnom toku, koja je u međuvremenu otklonjena, prenosi Rojters.