OpenAI就Axios工具保险破绽发声 提示Mac用户及时更新ChatGPT等四款应用

OpenAI公司近日发布紧急公告，针对旗下多款macOS应用存在的安全风险发出更新提醒。此次事件源于第三方开发工具Axios的npm包被植入恶意代码，导致部分应用签名流程受到污染。公司敦促使用ChatGPT、Codex、Atlas及Codex CLI四款应用的Mac用户立即进行版本升级。

技术溯源显示，攻击者通过篡改axios@1.14.1和axios@0.30.4两个npm版本，植入可远程控制的恶意代码。该漏洞通过OpenAI的GitHub Actions工作流渗透，由于macOS应用签名流程存在配置缺陷，系统自动下载并执行了受污染的Axios版本。经查证，恶意代码最早可追溯至2026年3月31日的应用构建过程。

安全团队经过全面排查后确认，尚未发现用户数据泄露或系统被篡改的证据。为防范潜在风险，OpenAI已启动三项安全措施：立即撤销受影响的安全证书并轮换新证书；与苹果公司协同阻止旧证书的新公证请求；强制要求所有应用更新至使用新证书签名的版本。公司特别强调，5月8日起macOS系统将自动拦截旧版应用运行。

此次涉及的应用更新包含关键安全补丁，未及时升级的用户将面临功能限制。OpenAI在官方公告页面开设了专用下载通道，提供四款应用的最新安装包。技术人员建议用户通过系统设置检查应用版本，确保ChatGPT等工具升级至最新构建版本，以维持正常功能使用。

苹果公司同步加强了应用审核机制，对涉及代码签名的公证请求实施更严格的验证流程。安全专家提醒开发者，需定期检查第三方依赖库的更新日志，建议采用代码签名证书的多级管理机制，避免因单个组件漏洞导致整个应用生态受损。此次事件再次凸显供应链安全在软件开发中的重要性。