OpenAI 近期發現旗下產品涉及第三方開發工具 Axios 的安全問題,呼籲所有 macOS 用戶將 OpenAI 桌面版應用程式包括 ChatGPT、Codex、Codex CLI 及 ChatGPT Atlas 更新至最新版本。
OpenAI 指出,業界廣泛使用的 Node Package Manager(npm)套件 Axios,在一場大規模的軟體供應鏈攻擊遭到入侵。OpenAI 在 macOS 應用程式簽署流程中使用的一個 GitHub Actions 工作流程,下載並執行遭植入惡意程式碼的 Axios 1.14.1 版本。這個工作流程可存取用於 macOS 應用程式的簽署憑證與公證資料,涵蓋桌面版 ChatGPT、Codex、Codex CLI 及 ChatGPT Atlas 等產品,這些憑證可幫助用戶確認軟體合法來自 OpenAI。
OpenAI 分析,由於惡意程式執行時機、憑證注入流程、工作流程執行順序及其他緩解因素,憑證很可能未被成功竊取。OpenAI 仍採謹慎態度,將憑證視為已遭洩漏,並進行撤銷與更換。
在調查與應對過程,OpenAI 聘請第三方數位鑑識與事件應變公司,並完成 macOS 程式碼簽署憑證的更換,重新發表所有 macOS 版本,並與蘋果合作,確保使用舊憑證的應用程式無法再次進行公證。OpenAI 則稱,目前沒有發現任何既有安裝版本存在風險或遭入侵的證據。
We recently identified a security issue involving the third-party developer library Axios that was part of a broader industry incident. We found no evidence that OpenAI user data was accessed, that our systems were compromised, or that our software was altered.
Out of an…
— OpenAI (@OpenAI) April 11, 2026
OpenAI 更新產品的憑證下,將要求所有 macOS 用戶將 OpenAI 桌面版應用程式更新至最新版本,可透過應用程式內更新或 OpenAI 官網連結安全地完成更新。OpenAI 也提醒,切勿透過電子郵件、簡訊、網路廣告或第三方下載網站中的連結來安裝桌面版應用程式。至於 iOS、Android、Windows、Linux 版本的產品不受影響,用戶也不用更改密碼自保。
自 2026 年 5 月 8 日起,舊版 macOS 桌面應用程式不再獲得更新或支援,並且可能無法運作。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
