供给链进犯波及 OpenAI,macOS 用户请马上反省你的应用版本

OpenAI 近日发布安全声明，承认旗下产品受到了一场供应链攻击的波及，涉及的正是开发者圈子里广泛使用的第三方库——Axios。

好消息是，OpenAI 表示目前没有发现任何用户数据被窃取、内部系统遭到入侵或软件代码被篡改的迹象。但即便如此，他们还是选择主动出击，更新了 macOS 应用的安全认证，并明确要求用户尽快将应用升级至最新版本，以堵上潜在的安全漏洞。升级方式很简单，通过应用内提示或官方渠道操作即可。

事情的源头要追溯到上周。Axios 在 npm 平台上的托管账户遭到黑客劫持，攻击者悄悄在代码中植入了恶意程序，同时篡改了开发者账户的注册邮箱，以此切断原始所有者的找回途径。整个攻击链条的最终目标，是获取受害者设备的控制权。

这类供应链攻击之所以危险，正在于它的隐蔽性——开发者引用的是自己信任的库，却浑然不知其中已被动手脚，而下游用户更是毫无防备。

对于 macOS 上的 ChatGPT 或其他 OpenAI 应用用户，现在最该做的一件事很简单：打开应用，确认你用的是最新版本。