OpenAI a anunţat vineri că a identificat o problemă de securitate care implică un instrument de dezvoltare al unei terţe părţi numit Axios şi că ia măsuri pentru a proteja procesul prin care certifică faptul că aplicaţiile sale pentru macOS sunt aplicaţii legitime OpenAI, relatează CNBC.
Compania care dezvoltă ChatGPT a precizat că nu există dovezi că datele utilizatorilor au fost accesate, că sistemele sau proprietatea sa intelectuală au fost compromise sau că software-ul său a fost modificat.
OpenAI a anunţat că îşi actualizează certificările de securitate şi le solicită tuturor utilizatorilor de macOS să îşi actualizeze aplicaţiile OpenAI la cele mai recente versiuni, pentru a reduce riscul distribuirii unor aplicaţii false.
Potrivit companiei, biblioteca Axios, un instrument software utilizat pe scară largă de dezvoltatori, a fost compromisă pe 31 martie, în cadrul unui atac mai amplu asupra lanţului de aprovizionare software, atribuit unor actori despre care se crede că sunt legaţi de Coreea de Nord.
Atacul a determinat un flux de lucru GitHub Actions utilizat de OpenAI să descarce şi să execute o versiune ”maliţioasă” a Axios. Acest flux de lucru avea acces la materiale de certificare şi notarizare folosite pentru semnarea aplicaţiilor macOS, inclusiv ChatGPT Desktop, Codex, Codex-cli şi Atlas.
OpenAI a precizat că analiza incidentului arată că certificatul de semnare prezent în acest flux de lucru probabil nu a fost exfiltrat cu succes de programul maliţios.
Compania a mai anunţat că, începând cu 8 mai, versiunile mai vechi ale aplicaţiilor desktop OpenAI pentru macOS nu vor mai primi actualizări sau suport şi este posibil să nu mai funcţioneze.
Parolele şi cheile API OpenAI nu au fost afectate de această problemă de securitate, a precizat compania, adăugând că incidentul a fost cauzat de o configurare greşită a fluxului de lucru GitHub Actions, care a fost între timp corectată.
