【紧急】OpenAI要求更新macOS应用！应对开发工具“Axios”引发的供应链攻击

📰 新闻概述

• Axios受侵: 2026年3月31日，广泛使用的开发库“Axios”遭遇了供应链攻击，OpenAI的GitHub Actions工作流程执行了其恶意版本（1.14.1）。
• 证书更新: 由于此次攻击可能导致macOS应用的签名证书受到威胁，OpenAI决定撤销并重新发行证书。
• 更新必需: 从2026年5月8日起，旧版本将无法在旧证书下运行。ChatGPT Desktop、Codex、Atlas等macOS应用的用户需更新至最新版本。

💡 重要要点

• 受影响应用: ChatGPT Desktop（1.2026.051及之后版本）、Codex应用、Codex CLI及Atlas的macOS软件均受到影响。
• 损害情况: 目前尚未发现用户数据、知识产权或系统受侵的证据，这只是预防性措施。
• 根本原因: 由于在GitHub Actions中使用了“浮动标签”而非特定的提交哈希，并且未设置新包验证期（minimumReleaseAge），导致了配置错误。

🦈 鲨鱼视角（策展人的观点）

这次针对开发工具“Axios”的供应链攻击，真是让人心惊肉跳！利用GitHub Actions中未使用“固定提交哈希”而使用“浮动标签”的实施漏洞，具体且深刻，给工程师们带来了教训。即便是像OpenAI这样的组织，也因为minimumReleaseAge的配置疏漏而引发如此大规模的事件，CI/CD的安全性可谓是生命线！不过，迅速撤换证书并与苹果合作封堵“伪装应用”的举措，展现了其敏锐的反应能力！

🚀 接下来会如何？

OpenAI将进一步在GitHub Actions中实施基于特定提交哈希的严格固定，并自动化设置包的验证期。其他公司也会警惕类似的供应链攻击，加速对开发流程中“信任链”的全面检查！

💬 鲨鱼的建议

Mac用户们，像鲨鱼的下颚一样迅速咬下“更新”按钮！如果不更新，5月8日起就无法使用了哦！🦈🔥

📚 术语解说

• 供应链攻击: 通过先对目标企业信任的第三方软件或库进行污染，间接攻击最终目标的手法。

• 代码签名证书: 证明软件由可信开发者提供，并确保其未被篡改，供操作系统（如macOS）验证的数字证书。

• 公证 (Notarization): 苹果提供的安全服务，事先检查软件是否含有恶意软件，并允许其执行的机制。

• 信息来源: OpenAI对Axios开发工具受侵的回应