A OpenAI identificou uma vulnerabilidade no módulo externo em seus produtos — a segurança dos dados dos usuários não foi comprometida

OpenAI relata ameaça de segurança identificada e medidas para mitigá‑la

A OpenAI anunciou a descoberta de uma potencial vulnerabilidade no componente externo Axios, usado em vários seus aplicativos. Como resultado, a empresa precisou tomar medidas para proteger o processo de certificação de softwares para macOS.

- Ausência de evidências de comprometimento

Até o momento, a OpenAI não encontrou confirmações de que invasores obtiveram acesso aos dados dos usuários, interromperam o funcionamento dos sistemas ou alteraram o software.

- Como a vulnerabilidade foi corrigida

A empresa atualizou os certificados de segurança e recomenda fortemente que todos os usuários dos aplicativos para macOS migrem para as versões mais recentes. Isso ajudará a eliminar o risco de propagação de softwares falsificados.

- Essência do incidente

No início de março, a biblioteca Axios foi comprometida, e uma variante maliciosa foi carregada e executada no processo CI/CD via GitHub Actions. A versão maliciosa obteve acesso aos certificados usados para assinar os aplicativos ChatGPT Desktop, Codex, Codex‑cli e Atlas. A análise mostrou que os certificados não foram roubados pelo código malicioso.

- Problema das versões antigas

Os aplicativos desktop da OpenAI para macOS lançados antes de 8 de março deixarão de receber atualizações e suporte. Isso pode levar à perda de funcionalidade dos programas.

- Segurança das chaves

A empresa enfatizou que senhas e chaves API da OpenAI permaneceram protegidas. A principal causa do incidente foi uma configuração incorreta no GitHub Actions, já corrigida.

Assim, a OpenAI concluiu o trabalho de mitigação da ameaça, atualizando os certificados e sugerindo aos usuários que migrem para as versões mais recentes dos aplicativos para macOS.