OpenAI 近日發布安全聲明,承認旗下產品受到了一場供應鏈攻擊的波及,涉及的正是開發者圈子里廣泛使用的第三方庫——Axios。
好消息是,OpenAI 表示目前沒有發現任何用戶數據被竊取、內部系統遭到入侵或軟件代碼被篡改的跡象。但即便如此,他們還是選擇主動出擊,更新了 macOS 應用的安全認證,并明確要求用戶盡快將應用升級至最新版本,以堵上潛在的安全漏洞。升級方式很簡單,通過應用內提示或官方渠道操作即可。
事情的源頭要追溯到上周。Axios 在 npm 平臺上的托管賬戶遭到黑客劫持,攻擊者悄悄在代碼中植入了惡意程序,同時篡改了開發者賬戶的注冊郵箱,以此切斷原始所有者的找回途徑。整個攻擊鏈條的最終目標,是獲取受害者設備的控制權。
這類供應鏈攻擊之所以危險,正在于它的隱蔽性——開發者引用的是自己信任的庫,卻渾然不知其中已被動手腳,而下游用戶更是毫無防備。
對于 macOS 上的 ChatGPT 或其他 OpenAI 應用用戶,現在最該做的一件事很簡單:打開應用,確認你用的是最新版本。
